Hacker nutzten gefälschte CAPTCHA-Seiten, um Schadsoftware auf Windows zu verbreiten

Wie Angreifer gefälschte CAPTCHA-Seiten nutzen

Neue Forscher haben eine Schwachstelle entdeckt, die es Hackern ermöglicht, Windows-Benutzer zu täuschen und sie dazu zu bringen, ein schädliches PowerShell-Skript auszuführen. Das Skript, genannt Stealthy StealC Information Stealer, stiehlt Daten aus dem Browser, Passwörter für Kryptowährungs‑Wallets, Steam- und Outlook‑Konten und sendet alles zusammen mit Bildschirmfotos an einen Command‑and‑Control‑Server.

Was passiert im Angriffsprozess?
1. Gefälschte CAPTCHA-Seiten

Hacker platzieren eine gefälschte Prüfoberfläche, die wie eine normale CAPTCHA-Seite aussieht. Auf diesen Seiten sieht der Benutzer die „Anfrage“, die Tastenkombination Windows + R (Ausführen‑Dialog öffnen) und anschließend Ctrl + V (einfügen aus dem Zwischenspeicher) zu drücken.

2. Ausführung von PowerShell aus dem Zwischenspeicher

Im Voraus wird ein ausführbares PowerShell-Skript in den Zwischenspeicher geladen. Der Benutzer führt es manuell aus, ohne die bösartige Natur des Befehls zu bemerken.

3. Herunterladen und Verbreiten von Code

Nach dem Start verbindet sich das Skript mit einem entfernten Server und lädt zusätzlichen schädlichen Code herunter. Der Datenverkehr wird mit dem RC4-Protokoll verschlüsselt, was seine Erkennung durch Standard‑Sicherheitsmittel erschwert.

Warum ist das gefährlich?
- Umgehung traditioneller Schutzmechanismen – herkömmliche Mechanismen zum Blockieren von Datei­downloads funktionieren möglicherweise nicht, da das Skript bereits im System ausgeführt wird.

- Breites Spektrum gestohlener Daten – von Browser‑Passwörtern bis zu Kryptowährungs‑Schlüsseln und Konten beliebter Dienste.

- Unsichtbarkeit für den Benutzer – die Aktion wirkt wie eine normale Sicherheitsprüfung und nicht wie die Ausführung schädlicher Software.

Wie man sich schützen kann?
Maßnahme | Was sie tut
--- | ---
Einschränkung der PowerShell-Nutzung | Richtlinien festlegen, die das Ausführen von Skripten ohne Signatur verbieten.
Windows‑Anwendungssteuerung | AppLocker oder ein ähnliches System zur Kontrolle der Programmausführung aktivieren.
Ausgehenden Traffic überwachen | Verdächtige Verbindungen (z. B. HTTP‑Traffic verschlüsselt mit RC4) verfolgen und blockieren.

Durch Befolgung dieser Empfehlungen lässt sich das Risiko erheblich reduzieren, dass ein Benutzer Opfer einer solchen Attacke wird.