Новая кампания социальной инженерии использует поддельные страницы проверки CAPTCHA, чтобы обманом заставить пользователей Windows запустить вредоносную программу-инфостилер StealC, выяснили исследователи компании LevelBlue.

Атака основана на взломе веб-сайтов, которые отображают убедительные проверки безопасности в стиле Cloudflare, побуждая жертв вручную выполнять вредоносные команды PowerShell под видом обычной проверки.

«StealC передаёт на сервер управления и контроля (C2) учётные данные браузера, криптовалютные кошельки, учётные записи Steam, учётные данные Outlook, системную информацию и скриншоты, используя зашифрованный HTTP-трафик RC4», — заявили исследователи.

StealC собирает учётные данные браузера, данные для входа в электронную почту, криптовалютных кошельков и системную информацию, что позволяет захватывать учётные записи, совершать мошенничество и перемещаться между серверами. Эти риски усугубляются многоступенчатой ​​цепочкой заражения, в основном в оперативной памяти, что затрудняет обнаружение и анализ.

Атака начинается, когда пользователь посещает легитимный веб-сайт, который был скомпрометирован злоумышленниками. Встроенный в сайт вредоносный JavaScript загружает поддельную страницу CAPTCHA, которая очень похожа на интерфейс проверки Cloudflare. Вместо визуального запроса страница предлагает пользователю нажать клавиши Windows + R, затем Ctrl + V и, наконец, Enter, утверждая, что эти шаги необходимы для завершения процесса проверки. Этот подход известен как ClickFix.

В итоге вредоносная команда PowerShell помещается в буфер обмена и выполняется при вставке в диалоговое окно «Выполнить». Это позволяет злоумышленнику выполнить код без запуска запросов на загрузку в браузере или предупреждений безопасности.

После выполнения скрипт PowerShell подключается к удалённому серверу для получения позиционно-независимого двоичного исполняемого кода, сгенерированного с использованием фреймворка Donut. Шелл-код загружается в память и используется для запуска пользовательского 64-битного загрузчика PE, скомпилированного с помощью Microsoft Visual C++.

Загрузчик извлекает финальную полезную нагрузку StealC и внедряет её в svchost.exe, легитимный процесс службы Windows. После внедрения стилер взаимодействует со своей инфраструктурой управления и контроля по протоколу HTTP, шифруя трафик с помощью комбинации кодирования Base64 и RC4.

Двухслойная обфускация строк дополнительно скрывает критически важные данные конфигурации, включая адреса серверов C2, целевые пути к файлам и запросы к базам данных. 

Активные кампании были нацелены на учётные данные браузера, криптовалютные кошельки, данные аутентификации Steam, учётные записи электронной почты Outlook и снимки экрана системы.

Для противодействия таким атакам отделам кибербезопасности требуется уделять больше внимания поведению и моделям доступа, а не традиционным артефактам вредоносного ПО. Эффективное обнаружение зависит от мониторинга активности процессов и доступа к конфиденциальным данным.

В LevelBlue рекомендуют:

  • отслеживать поведение, связанное с атаками без использования файлов, включая закодированные команды PowerShell, шаблоны внедрения шелл-кода (VirtualAlloc/CreateThread) и подозрительное внедрение процессов в svchost.exe;

  • выявлять предупреждения об аномальном доступе к хранилищам учётных данных браузера, артефактам криптовалютных кошельков и неожиданной активности буфера обмена в процессе выполнения, исходящей из браузеров;

  • ограничивать интерактивное выполнение скриптов, усиливая использование PowerShell, ограничивая использование подверженных злоупотреблениям утилит и обеспечивая расширенное ведение журналов и видимость AMSI;

  • применять политики контроля приложений (например, WDAC или AppLocker) для блокировки несанкционированных скриптов, рефлексивных загрузчиков и неподписанных бинарных файлов;

  • отслеживать исходящий сетевой трафик на предмет необычных строк User-Agent, подозрительных доменов и шаблонов управления, связанных с процессами, инициированными браузером;

  • снижать риск утечки учётных данных, ограничивая хранение паролей браузера, изолируя привилегированные аккаунты и отделяя доступ к конфиденциальным кошелькам или административным данным от повседневного просмотра веб-страниц.

Наконец, исследователи посоветовали регулярно проверять планы реагирования на инциденты и проводить учения по сценариям атак с использованием вредоносного ПО без файлов.

Ранее сообщалось, что в 2025 году десятки российских компаний подверглись атакам с использованием техники ClickFix. Злоумышленники маскировались под силовые ведомства. Они рассылали PDF-документы, в которых текст был заблюрен, и, чтобы его прочитать, пользователю предлагалось подтвердить, что он не робот. Кнопка «Я не робот» вела на сайт злоумышленников, где открывалось ещё одно окно с фейковой CAPTCHA. Скрипт скачивал изображение в формате PNG с сервера атакующих. Из него извлекалась вредоносная программа Octowave Loader, содержащая код запуска трояна удалённого доступа (RAT). RAT собирал базовую информацию о системе и позволял злоумышленникам выполнять команды на устройстве жертвы. 

Кроме того, случаи внедрения фейковых проверок капчи регистрировали в Telegram.