Hackers, sahte CAPTCHA sayfalarını kullanarak Windows için kötü amaçlı yazılım dağıttı

Kötü niyetli kişiler sahte CAPTCHA sayfalarını nasıl kullanıyor

Yeni araştırmacılar, Windows kullanıcılarını kandırıp PowerShell kötü amaçlı betiğini çalıştırmalarını sağlayan bir güvenlik açığı buldu. Stealthy StealC Information Stealer adlı betik, tarayıcıdan veri çeker, kripto para cüzdanları için şifreleri, Steam ve Outlook hesap bilgilerini toplar ve ardından bu verileri ekran görüntüleriyle birlikte yönetim sunucusuna gönderir.

Saldırı sürecinde ne oluyor?
1. Sahte CAPTCHA sayfaları

Hackerlar, normal bir CAPTCHA sayfası gibi görünen sahte bir doğrulama arayüzü yayınlar. Bu sayfalarda kullanıcıya Windows + R tuş kombinasyonunu (Çalıştır iletişim kutusunu açmak) ve ardından Ctrl + V (panodan yapıştırma) basmasını isteyen bir “istek” gösterilir.

2. PowerShell’in panodan çalıştırılması

Önceden hazırlanmış PowerShell betiği panoya yüklenir. Kullanıcı talimatları izleyerek betiği manuel olarak başlatır ve komutun kötü amaçlı olduğunu fark etmez.

3. Kod indirip yayma

Betik çalıştırıldıktan sonra uzaktaki bir sunucuya bağlanır ve ek kötü amaçlı kodu indirir. Trafik RC4 protokolüyle şifrelenir, bu da standart güvenlik araçlarının tespitini zorlaştırır.

Neden tehlikelidir?
- Geleneksel korumaların atlatılması – dosya indirme engelleme mekanizmaları çalışmayabilir çünkü betik zaten sistemde çalışıyor.
- Geniş veri yelpazesi – tarayıcı şifrelerinden kripto para anahtarlarına ve popüler servis hesaplarına kadar çok tür bilgi çalınır.
- Kullanıcı için farkedilmezlik – eylem normal bir güvenlik kontrolü gibi görünür, kötü amaçlı yazılım çalıştırmak yerine.

Nasıl korunulur?
Eylem | Ne yapar
---|---
PowerShell kullanımını sınırlamak | İmzalı olmayan betiklerin çalışmasını engelleyen politikalar kurun.
Windows Uygulama Kontrolü | AppLocker veya benzeri bir program yürütme kontrol sistemi etkinleştirin.
Çıkış trafiğini izlemek | Şüpheli bağlantıları (örneğin RC4 ile şifrelenmiş HTTP trafiği) takip edin ve engelleyin.

Bu önerilere uyarak, kullanıcının böyle bir saldırıya kurban düşme riskini önemli ölçüde azaltabilirsiniz.