Hackers usaram páginas de CAPTCHA falsas para espalhar malware em sistemas Windows

Como os invasores usam páginas CAPTCHA falsas

Novos pesquisadores descobriram uma vulnerabilidade que permite a hackers enganar usuários do Windows e fazê-los executar um script malicioso do PowerShell. O script, chamado Stealthy StealC Information Stealer, rouba dados do navegador, senhas de carteiras de criptomoedas, contas da Steam e Outlook, e depois envia tudo isso junto com capturas de tela para o servidor de controle.

O que acontece no processo de ataque?
1. Páginas CAPTCHA falsas

Os hackers colocam uma interface falsa de verificação que parece uma página comum com CAPTCHA. Nessas páginas, o usuário vê um “pedido” para pressionar a combinação de teclas Windows + R (abrir a caixa de diálogo Executar) e depois Ctrl + V (colar do clipboard).

2. Execução do PowerShell a partir do clipboard

No clipboard já está carregado previamente um script executável do PowerShell. O usuário, seguindo as instruções, o executa manualmente sem suspeitar da natureza maliciosa do comando.

3. Download e distribuição de código

Após a execução, o script se conecta a um servidor remoto e baixa código malicioso adicional. O tráfego é criptografado com o protocolo RC4, dificultando sua detecção pelos meios de segurança padrão.

Por que isso é perigoso?
- Evita proteções tradicionais – mecanismos comuns de bloqueio de download podem não funcionar, pois o script já está em execução no sistema.
- Ampla gama de dados roubados – desde senhas do navegador até chaves de criptomoedas e contas de serviços populares.
- Invisibilidade para o usuário – a ação parece uma verificação de segurança comum, não um lançamento de malware.

Como se proteger?
Medida | O que faz
--- | ---
Limitar o uso do PowerShell | Definir políticas que proíbam a execução de scripts sem assinatura.
Controle de aplicativos Windows | Ativar AppLocker ou sistema similar de controle de execução de programas.
Monitoramento de tráfego de saída | Rastrear conexões suspeitas (por exemplo, tráfego HTTP criptografado em RC4) e bloqueá-las.

Seguindo essas recomendações, é possível reduzir significativamente o risco de que um usuário se torne vítima de tal ataque.