Tento trend však není novinkou – již koncem roku 2024 bezpečnostní odborníci upozorňovali na falešné CAPTCHA stránky používané k distribuci infostealer malwaru. Nejnovější zpráva HP Threat Insights Report však ukazuje, že se tato metoda stává stále častější a útočníci ji neustále zdokonalují.

Jak falešné CAPTCHA podvody fungují?

Podstata tohoto útoku je jednoduchá, ale velmi efektivní. Uživatelé jsou přesměrováni na webové stránky ovládané útočníky, kde jsou požádáni o splnění CAPTCHA testu – ovšem ten není skutečný. Místo toho se jedná o pečlivě připravený podvrh, který vypadá autenticky, ale ve skutečnosti provede škodlivý kód.

Nejčastější scénář vypadá následovně:

1. Uživatel se dostane na infikovanou stránku, například prostřednictvím phishingového e-mailu nebo škodlivého odkazu.
2. Stránka zobrazí falešnou CAPTCHA výzvu, která působí legitimně.
3. Kliknutím na tlačítko „Ověřit“ oběť neúmyslně spustí škodlivý PowerShell kód, který nainstaluje malware.
4. Útočníci získají přístup k citlivým datům oběti, včetně přihlašovacích údajů, historie prohlížeče nebo i kryptopeněženek.

Tento způsob útoku využívá naši zautomatizovanou reakci na bezpečnostní opatření – každý den musíme klikat na různé ověřovací prvky, takže málokdo zpochybňuje legitimitu CAPTCHA testu.

Zdroj: Shutterstock

Jaký malware se takto šíří?

Nejčastěji šířeným malwarem prostřednictvím falešných CAPTCHA testů je Lumma Stealer – jeden z nejnebezpečnějších infostealerů současnosti. 

Další hrozby: Webkamery, mikrofony a JavaScript ukrytý v obrázcích

Útočníci používají také sofistikované metody sociálního inženýrství, které jim umožňují získat kontrolu nad webkamerami a mikrofony obětí. Toho dosahují zejména prostřednictvím otevřených RAT (Remote Access Trojan) nástrojů nebo XenoRat, což jsou nebezpečné programy pro vzdálené ovládání počítačů.

Další novou hrozbou je využívání škodlivého JavaScript kódu v SVG obrázcích. Tyto obrázky jsou běžně otevírány přímo v prohlížečích a jejich obsah může být automaticky vykonán, aniž by si toho uživatel všiml. Tato technika umožňuje útočníkům obejít bezpečnostní systémy a získat přístup k zařízením obětí.

Proč jsou tyto útoky tak účinné?

Jedním z klíčových faktorů, který umožňuje rozmach těchto útoků, je rostoucí „klikací tolerance“ uživatelů. Lidé jsou dnes zvyklí na neustálé (obtěžující) bezpečnostní kontroly a opakované ověřování, takže automaticky klikají na jakékoliv výzvy k potvrzení identity.

Navíc útočníci stále častěji využívají techniky maskování a obfuscace, které ztěžují odhalení malwaru. Jak vysvětluje Patrick Schläpfer z HP Security Lab:

„I jednoduché, ale účinné techniky pro obcházení bezpečnostních systémů mohou zpomalit reakci bezpečnostních týmů a prodloužit dobu, po kterou útočníci mohou zůstat neodhaleni.“

Útočníci například využívají:

• Přímé systémové volání k obcházení bezpečnostních nástrojů,
• Šifrování komunikace s řídícími servery,
• Zneužívání legitimních procesů Windows, což ztěžuje odhalení hrozby.