Hackers gebruiken valse CAPTCHA om Windows pc’s te infecteren

Windows Hackers gebruiken valse CAPTCHA

Hackers gebruiken valse CAPTCHA verificatiepagina’s om Windows gebruikers te misleiden zodat zij kwaadaardige PowerShell commando’s uitvoeren die StealC Stealer software installeren.
De campagne verspreidt StealC, een hulpmiddel voor het stelen van informatie dat zich richt op browserinloggegevens, cryptowallets, Steam accounts, Outlook inloggegevens, systeeminformatie en schermafbeeldingen. De gestolen gegevens worden via met RC4 versleuteld HTTP-verkeer verzonden naar een command-and-control (C2)-server. Soortgelijke aanvallen hebben we in het verleden al gezien.

Hoe werkt de valse CAPTCHA aanval?

Aanvallers injecteren JavaScript in deze websites. Wanneer gebruikers de site bezoeken, worden zij doorgestuurd naar een valse CAPTCHA pagina die eruitziet als een Cloudflare verificatiescherm.

In plaats van een traditionele afbeelding of selectievakje (checkbox) toont de valse CAPTCHA instructies om:

  • Op de Windows toets + R te drukken
  • Op Ctrl + V te drukken
  • Op Enter te drukken

Deze instructies worden gepresenteerd als onderdeel van een verificatieproces. De techniek, aangeduid als “ClickFix”, maakt misbruik van het vertrouwen van gebruikers in eenvoudige toetsenbordinstructies. Slachtoffers denken dat zij een normale beveiligingscontrole uitvoeren.

Nieuwe ClickFix aanvalsgolf gericht op Windows systemen om StealC Stealer te verspreiden

Wanneer gebruikers de instructies opvolgen:

  • Wordt een kwaadaardig PowerShell commando vooraf op het klembord geplaatst.
  • Door op Ctrl + V te drukken wordt het commando in het Windows “Uitvoeren” venster geplakt.
  • Door op Enter te drukken wordt het script uitgevoerd.

Het script maakt vervolgens verbinding met een externe server en downloadt aanvullende StealC Stealer malwarecomponenten.

Omdat het commando handmatig via het “Uitvoeren” venster wordt gestart, kan het sommige browserwaarschuwingen voor downloads en beveiligingsmeldingen omzeilen.

Eenmaal geïnstalleerd begint StealC met het verzamelen van opgeslagen inloggegevens en andere gevoelige data, waaronder Outlook accountgegevens.

Wat is het doelwit van ClickFix met Stealthy StealC?

StealC richt zich met name op:

  • Browserinloggegevens
  • Cryptowallets
  • Steam accounts
  • Outlook inloggegevens
  • Systeeminformatie
  • Schermafbeeldingen

Het proces gebruikt versleuteld HTTP verkeer om te communiceren met infrastructuur die door aanvallers wordt beheerd.

Hoe bescherm je jezelf tegen deze CAPTCHA oplichting?

De valse CAPTCHA aanval is afhankelijk van gebruikersinteractie. De belangrijkste verdediging is om nooit commando’s uit te voeren die afkomstig zijn van webpagina’s.

Als een website je vraagt om:

  • Het “Uitvoeren” venster te openen
  • Een commando te plakken
  • PowerShell uit te voeren

Sluit de pagina onmiddellijk.

CAPTCHA uitdagingen vereisen GEEN toetsencombinaties of systeemcommando’s. Elk dergelijk verzoek is een groot waarschuwingssignaal.

Aanvullende maatregelen:

  • Voer geen PowerShell commando’s uit die je niet zelf expliciet hebt gestart.
  • Houd Windows beveiligingsfuncties ingeschakeld.
  • Controleer op ongebruikelijke uitgaande netwerkactiviteit als je bedrijfsnetwerken beheert.
  • Beperk scriptuitvoering en dwing applicatiecontrolebeleid af in beheerde omgevingen.

Als je vermoedt dat je al zo’n commando hebt uitgevoerd:

  • Koppel het apparaat los van het netwerk.
  • Voer een volledige beveiligingsscan uit met bijgewerkte beveiligingssoftware.
  • Wijzig wachtwoorden van Outlook, e-mail en andere opgeslagen accounts vanaf een schoon apparaat.
  • Schakel waar mogelijk multi-factor-authenticatie (MFA) in.

Waarom is deze CAPTCHA aanval effectief?

De CAPTCHA methode maakt geen gebruik van traditionele bestandsdownloads. In plaats daarvan wordt social engineering en psychologie gebruikt om gebruikers ertoe te brengen zelf kwaadaardige commando’s uit te voeren.

Doordat de aanval zich voordoet als een CAPTCHA verificatie, maken hackers misbruik van een veelvoorkomende en vertrouwde webinteractie.

De aanval richt zich specifiek op Windows systemen en gebruikt ingebouwde hulpmiddelen zoals PowerShell en het “Uitvoeren” venster.

Er is geen patch van Microsoft nodig, omdat de aanval geen misbruik maakt van een systeemkwetsbaarheid, maar van gebruikersgedrag.