استخدم القراصنة صفحات CAPTCHA مزيفة لتوزيع برمجيات خبيثة على نظام ويندوز

كيف يستخدم المخترقون صفحات CAPTCHA المزيفة

اكتشف باحثون جدد ثغرة تسمح للقراصنة بخداع مستخدمي Windows وجعلهم تشغيل برنامج PowerShell خبيث. البرنامج، الذي يُسمى Stealthy StealC Information Stealer، يسرق بيانات من المتصفح، كلمات مرور لمحافظ العملات الرقمية، حسابات Steam و Outlook، ثم يرسل كل ذلك مع لقطات الشاشة إلى خادم التحكم.

ما يحدث أثناء الهجوم؟
1. صفحات CAPTCHA المزيفة

ينشر القراصنة واجهة فحص مزيفة تبدو كصفحة CAPTCHA عادية. على هذه الصفحات يرى المستخدم طلبًا للضغط على تركيبة مفاتيح Windows + R (فتح مربع الحوار "تشغيل") ثم Ctrl + V (لصق من الحافظة).

2. تشغيل PowerShell من الحافظة

تُحمَّل السكربت التنفيذي لـ PowerShell مسبقًا إلى الحافظة. يتبع المستخدم التعليمات ويشغله يدويًا، دون أن يلاحظ طابع الخطر في الأمر.

3. تنزيل وتوزيع الكود

بعد التشغيل يتصل السكربت بخادم بعيد ويحمل كود خبيث إضافي. يُشفَّر المرور باستخدام بروتوكول RC4، ما يجعل اكتشافه صعبًا بالوسائل الأمنية التقليدية.

لماذا هو خطير؟
- تجاوز الحماية التقليدية – قد لا تعمل آليات حظر تحميل الملفات المعتادة لأن السكربت يعمل بالفعل في النظام.
- نطاق واسع من البيانات المسروقة – من كلمات مرور المتصفح إلى مفاتيح العملات الرقمية وحسابات الخدمات الشهيرة.
- عدم وضوحه للمستخدم – يبدو الإجراء كتحقق أمني عادي، وليس تشغيل برنامج خبيث.

كيف تحمي نفسك؟
الخطوة | ما يفعله
---|---
تقييد استخدام PowerShell | إعداد سياسات تمنع تنفيذ السكربتات غير الموقعة.
مراقبة تطبيقات Windows | تفعيل AppLocker أو نظام مراقبة تنفيذ البرامج مشابه.
رصد حركة المرور الصادرة | تتبع الاتصالات المشبوهة (مثل HTTP مشفر بـ RC4) وحظرها.

باتباع هذه التوصيات، يمكنك تقليل خطر أن يصبح المستخدم ضحية لهذا النوع من الهجمات.