مهاجمان و هکرها حفرهای را شناسایی کردهاند که به آنها اجازه میدهد با استفاده از صفحات جعلی CAPTCHA، کاربران ویندوز را فریب دهند و بدافزار Stealthy StealC Information Stealer را اجرا کنند.
پژوهشگران امنیتی LevelBlue اعلام کردهاند StealC اطلاعاتی مانند اعتبارنامههای مرورگر، کیفپولهای رمزارزی، حسابهای استیم، اطلاعات اوتلوک، اطلاعات سیستمی و اسکرینشاتها را از طریق ترافیک HTTP رمزگذاریشده با RC4 به سرور فرمان و کنترل (C2) منتقل میکند.
این کارزار مهندسی اجتماعی از صفحات تأیید هویت جعلی کپچا در وبسایتهای آلوده بهره میبرد؛ صفحاتی که بررسیهای امنیتی مشابه Cloudflare را شبیهسازی میکنند. در نتیجه، برخی کاربران ویندوز بدون اطلاع، دستورات مخرب PowerShell را که در قالب فرایند عادی تأیید نمایش داده میشود، بهصورت دستی اجرا میکنند.
ماهیت واقعی کپچا برای بسیاری روشن نیست؛ اما با گسترش عصر هوش مصنوعی ، تشخیص انسان از ربات در فضای آنلاین اهمیت بیشتری پیدا کرده است. کپچا با هدف جلوگیری از اسپم و مقابله با تلاش برای شکستن رمز عبور طراحی شدهاند؛ اما صرف دقت در انتخاب وبسایتها برای کاهش ریسکهای امنیتی کافی نیست، چون مهاجمان از روشهای پیچیدهتری استفاده میکنند.
در نمونهای از این حمله، کاربران ویندوز وارد سایتی ظاهراً معتبر میشوند که پیشتر توسط هکرها آلوده شده است. کد جاوااسکریپت مخرب در آن سایت بارگذاری میشود و صفحهای جعلی با ظاهر رابط تأیید Cloudflare را نمایش میدهد. اما بهجای نمایش آزمون تصویری، صفحهی جعلی از کاربر میخواهد برای تکمیل فرایند تأیید، کلید Windows + R را فشار دهد، سپس Ctrl + V را بزند و در نهایت اینتر را انتخاب کند.
روش مذکور که ClickFix نام دارد، بر اعتماد کاربران به پیامهای سادهی کیبورد تکیه میکند؛ پیامهایی که معمولاً هنگام تعامل با منابع بهظاهر معتبر، کمتر مورد تردید قرار میگیرند و شبیه بررسی عادی امنیتی به نظر میرسند.
با اجرای این میانبرها، دستور مخرب پاورشل از پیش در حافظهی کلیپبورد قرار میگیرد و هنگام جایگذاری در پنجرهی Run اجرا میشود؛ بدون آنکه هشدار دانلود مرورگر یا اخطار امنیتی فعال شود.
در ادامه، اسکریپت پاورشل به سروری راه دور متصل میشود تا کد اصلی را دریافت کند. این فرایند دانلودگری را فعال میکند که ممکن است از سد برخی سازوکارهای رایج مقابله با حملات عبور کند.
برای تقویت امنیت، میتوان اجرای اسکریپتها را محدود کرد، کنترل سختگیرانهتری بر اجرای اپها در ویندوز اعمال کرد و ترافیک خروجی شبکه را زیر نظر گرفت تا خطر افشای اعتبارنامهها کاهش یابد؛ اقداماتی که اجرای آنها به دانش فنی نیاز دارد.
