Fake CAPTCHA

Stationary

Stationary

Well-known member
Fake CAPTCHA challenges - stay vigilant

New attacks use realistic CAPTCHA to trick users into running malware

Sophisticated cyber-attack involving fake CAPTCHA prompts.

What is a CAPTCHA?

CAPTCHA is a widely used tool designed to distinguish humans from automated bots. For example, users may be asked to select all images containing bicycles to verify they are not bots.

Attackers are now exploiting this trusted format to deploy malware. They embed fake CAPTCHA challenges into compromised websites to deceive users and install malicious software.

How the attack works

The malicious process typically follows this sequence:

  1. Users visit a compromised or malicious website and are presented with a realistic-looking CAPTCHA.
  2. Upon clicking a “Verify” button, malicious code is silently copied to the user’s clipboard.
  3. The site then instructs users to open a system prompt (such as Command Prompt, PowerShell, or the Windows Run dialog) and paste and execute the code.
  4. Once executed, the code connects to multiple attacker-controlled domains, triggering malware downloads and compromising the device—often before users even see a “Verification successful” message.
This attack chain is rapid and highly deceptive. Each domain contacted may serve a different purpose, from data theft to establishing backdoor access.

How to protect yourself

1749027817749.png

Trust your professional instinct. Your vigilance is our strongest line of defence. If a CAPTCHA prompt instructs you to take actions beyond clicking inside your browser window, treat it as highly suspicious. Close the site immediately and report the incident to the security team. CAPTCHAs should never require keystrokes outside their interface. Information Security advises all users to refrain from engaging with websites that display unexpected or suspicious CAPTCHA prompts, such as the example illustrated.

Do not use the following key combinations during any CAPTCHA interaction, as they may trigger malware execution:

  • Windows + R – opens the Window Run dialog box (similarly, avoid opening tools like Powershell, Command Prompt or selecting “Install certificates”)
  • CTRL + V – pastes potentially malicious code
  • Enter – executes the code
 

Wichtige Information - deshalb nochmal auf Deutsch​

„Beweisen Sie, dass Sie ein Mensch sind“ – Wie Angreifer CAPTCHA-Systeme für Malware-Kampagnen missbrauchen​

4. Juni 2025
In einer neuen Angriffswelle missbrauchen Cyberkriminelle gängige CAPTCHA-Systeme, um das Vertrauen der Nutzer auszunutzen und Schadsoftware auf Windows-Systemen zu verbreiten. Die Kampagne tarnt sich hinter vermeintlich harmlosen Verifizierungsmechanismen und nutzt gefälschte Websites, die legitime Plattformen wie Gitcodes oder DocuSign nachahmen. Ziel ist die Installation des Fernzugriffstrojaners NetSupport RAT.

Täuschung durch bekannte Marken

Im Zentrum der Angriffe stehen gefälschte Webseiten wie gitcodes[.]org oder docusign.sa[.]com, die mit vertrauenswürdigen Markenauftritten und bekannten Slogans locken. Nutzer werden dort mit einer vermeintlichen CAPTCHA-Herausforderung konfrontiert. Statt das übliche Anklicken von Bildern zu verlangen, fordern diese Seiten dazu auf, ein PowerShell-Skript zu kopieren und über Win+R auszuführen – ein hochgefährlicher Vorgang.
Das erste Skript fungiert dabei lediglich als Türöffner: Es lädt nachgelagerte Komponenten von Domains wie tradingviewtool[.]com nach und stößt einen mehrstufigen Infektionsprozess an, der in der Ausführung des NetSupport RAT endet. Die Malware wird über Registrierungs-Keys oder den Autostart-Ordner im System verankert und tritt dort unter Namen wie „My Support“ oder client32.exe in Erscheinung.

Zwischenablage-Angriffe und verschleierte Skripte

Besonders perfide ist der Einsatz sogenannter Clipboard-Poisoning-Techniken: Bei gefälschten DocuSign-Seiten wird ein ROT13-verschlüsseltes PowerShell-Skript automatisch in die Zwischenablage kopiert. Klickt der Nutzer auf ein gefälschtes Kontrollkästchen, genügt ein Druck auf Win+R, um die Schadsoftware manuell auszuführen – in der Annahme, es handle sich um eine reguläre CAPTCHA-Prüfung.

Verteilte Infrastruktur und bekannte Bedrohungsakteure

Die Infrastruktur der Kampagne verteilt sich über zahlreiche Domains und IP-Adressen. So kommunizieren die Skripte etwa mit Endpunkten wie docusign.sa[.]com/verification/c.php oder mhousecreative[.]com, um weitere Schadmodule nachzuladen oder kompromittierte Seiten zu aktualisieren.
Auffällig ist die Ähnlichkeit der eingesetzten Techniken mit früheren Kampagnen der Gruppen SocGholish, FIN7 oder STORM-0408, die ebenfalls NetSupport RAT nutzten. Hinweise auf eine direkte Täterschaft gibt es zwar nicht, doch Gemeinsamkeiten bei Domain-Registrierungen, Payload-Strukturen und C2-Kommunikation legen Überschneidungen nahe.

Missbrauch des Gewohnten – eine raffinierte Strategie


Das Besondere an dieser Kampagne: Sie zielt nicht auf technische Schwachstellen, sondern auf das Vertrauen der Nutzer in alltägliche Online-Routinen. Durch die gezielte Imitation legitimer Dienste und die Umwandlung harmloser Prüfprozesse in Angriffskanäle wird die Selbstinfektion zum zentralen Element der Taktik.

Sicherheitsempfehlungen für Nutzer
Cybersicherheitsexperten warnen eindringlich vor der Ausführung unbekannter Skripte über die Windows-Ausführungskonsole. Seriöse Websites fordern Nutzer praktisch nie dazu auf, PowerShell-Kommandos manuell einzugeben. Zudem gilt:

  • Misstrauen bei CAPTCHAs mit Skriptaufrufen: Kein echtes CAPTCHA erfordert die Ausführung von Code.
  • URL- und SSL-Prüfung: Auch bei bekannten Marken gilt: Prüfen Sie stets Domain und Zertifikat.
  • Skepsis gegenüber Zwischenablagen-Inhalten: Besonders bei Seiten, die Inhalte automatisch in die Zwischenablage legen.

Fazit

Die analysierte Kampagne zeigt, wie geschickt Angreifer alltägliche Online-Prozesse manipulieren, um Schadsoftware zu verbreiten. Der scheinbar einfache Trick der Selbstinfektion über CAPTCHAs verdeutlicht, wie wichtig Wachsamkeit und Benutzeraufklärung bleiben. In einer Zeit, in der Social Engineering immer raffinierter wird, sind Aufmerksamkeit und digitale Hygiene die besten Verteidigungsmaßnahmen.
 
Zuletzt bearbeitet von einem Moderator:
Hallo zusammen,

bei Zitaten bitte ich a) um einen Zitat-Block und b) um die Angabe der Quelle. Eventuell vorhandene Verlinkungen bitte das nächste mal eigenständig aus den zitierten Texten entfernen, danke!

Viele Grüße
LittleWing
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 253 (Mitglieder: 6, Gäste: 247)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.749
Beiträge
64.906
Mitglieder
7.037
Neuestes Mitglied
DerHuhuu

Teilen

Zurück
Oben