Lažne captcha datoteke izgledaju bezopasno, a tiho šire zlonamjerni softver na tisućama web stranica

· Sanja Ledinek

Lažne captcha datoteke izgledaju bezopasno

Lažne Captcha datoteke predstavljaju jedan od najsuptilnijih i najopasnijih načina širenja zlonamjernog softvera jer se oslanjaju na povjerenje koje su korisnici godinama razvijali prema sigurnosnim provjerama na internetu. Umjesto očitih upozorenja ili sumnjivih preuzimanja, ove stranice prikazuju sučelja koja gotovo savršeno oponašaju legitimne Captcha ili provjere preglednika kakve koriste poznati servisi poput Cloudflarea. Upravo ta poznata vizualna struktura, tipografija i način interakcije stvaraju dojam sigurnosti i navode korisnike da bez razmišljanja slijede upute prikazane na zaslonu.

U praksi, lažna Captcha često koristi tzv. ClickFix trik, gdje se od korisnika traži da potvrdi da nije robot, ali se pritom od njega zahtijeva neuobičajena radnja, poput kopiranja i pokretanja naredbi u PowerShellu, Command Promptu ili instalacije MSI datoteke. Prosječan korisnik, naviknut na povremene tehničke provjere, često ne primjećuje da takve radnje nikada nisu dio legitimne sigurnosne provjere. Na taj način korisnik sam pokreće zlonamjerni kod, misleći da samo dovršava rutinski korak verifikacije.

Istraživanja sigurnosnih stručnjaka, uključujući analizu tisuća lažnih Captcha stranica, pokazala su da iza ovih kampanja ne stoji jedna centralizirana skupina, već čitav ekosustav različitih aktera koji koriste slična sučelja, ali potpuno različite metode distribucije zlonamjernog softvera. Vizualno, stranice izgledaju gotovo identično, no u pozadini koriste različite skripte, domene i infrastrukturne mreže za preuzimanje i izvršavanje malicioznog sadržaja. Upravo ta kombinacija vizualne uniformnosti i tehničke fragmentacije otežava sigurnosnim sustavima da učinkovito detektiraju prijetnju.

Najčešće korištene metode uključuju VBScript skripte koje koriste ugrađene Windows komponente za preuzimanje dodatnog koda, PowerShell naredbe koje tiho dohvaćaju i pokreću zlonamjerne datoteke, kao i MSI instalacijske pakete koji se predstavljaju kao legitimni softver. Ove tehnike često koriste kompromitirane ili naizgled bezazlene domene, dodatno smanjujući sumnju kod korisnika i sigurnosnih alata. U nekim slučajevima koristi se i infrastruktura preglednika, poput push notifikacija, kako bi se održala komunikacija s kontrolnim poslužiteljima.

Sigurnosne implikacije ovakvog pristupa su ozbiljne jer napadači više ne ovise isključivo o zlonamjernim privicima ili sumnjivim preuzimanjima, već se skrivaju unutar legitimnih web iskustava. Tradicionalne obrane koje se fokusiraju na prepoznavanje poznatih uzoraka zlonamjernog koda često nisu dovoljne jer je ključni element napada upravo sučelje koje gradi povjerenje, a ne sam payload. To znači da se detekcija mora proširiti i na kontekst u kojem se sigurnosna provjera pojavljuje, kao i na ponašanje koje slijedi nakon korisničke interakcije.

Kako bi se smanjio rizik, organizacije i korisnici trebaju primijeniti višeslojni pristup obrani. To uključuje tehničke mjere poput nadzora neuobičajenih Captcha sučelja, analize mrežnog prometa nakon interakcije s takvim stranicama i korištenja platformi za obavještavanje o prijetnjama. Jednako važna je i edukacija korisnika, uz jasno pravilo da legitimne Captcha provjere nikada ne traže pokretanje skripti, instalaciju softvera ili ručno izvršavanje naredbi u sustavu. Upravo razumijevanje ove razlike može biti presudno u sprječavanju širenja zlonamjernog softvera koji se danas sve češće skriva iza naizgled bezopasnih sigurnosnih provjera.

DRUGE NOVOSTI