新的网络攻击活动利用虚假验证码和浏览器错误攻击计算机用户

卡巴斯基发现了一波新的恶意活动，该活动通过网络广告传播，攻击目标是 Windows计算机用户。用户在浏览网页时，可能会无意中点击一个隐蔽地覆盖整个屏幕的广告，从而被重定向到一个虚假的验证码页面或虚假的Chrome错误信息页面，提示他们按照步骤下载窃取器。卡巴斯基的遥测数据显示，2024年9月和10月，用户遭遇这些恶意广告的次数超过140,000次，超过 2 万名用户被重定向到托管恶意脚本的假页面。这些用户大多来自巴西、西班牙、意大利和俄罗斯。为了安全起见，专家建议用户谨慎行事，避免遵循网上可疑的操作提示。

验证码（CAPTCHA）是一种用于网站和应用的安全功能，用于验证用户是人还是自动化程序或机器人。今年早些时候，有报道称攻击者使用虚假的验证码分发Lumma窃取器，主要针对游戏玩家。在浏览游戏网站时，用户被诱导点击覆盖整个屏幕的广告。他们被重定向到一个虚假的验证码页面，页面下方有提示，诱导他们下载窃取器。当用户点击“我不是机器人”按钮时，一个编码的Windows PowerShell命令被复制到他们的PC剪贴板。然后，他们被提示将其粘贴到终端框中并按下回车键，无意中下载并启动了Lumma。该恶意软件在受害者的设备上搜索与加密货币相关的文件、cookie和密码管理器数据。它还会访问各种电子商务平台的网页，增加了它们的浏览量，为攻击者带来了额外的经济收益。

在新一轮的攻击中，卡巴斯基研究人员发现了另一种攻击场景，其中攻击者利用的不时验证码，还是显示显示了一个网页错误消息，样式看起来像是Chrome浏览器中的服务消息。攻击者指示用户将“修复命令”复制到终端窗口中（修复命令与上述恶意 PowerShell 命令相同）。

“卡巴斯基发现，新一轮攻击的目标不仅是游戏玩家，还有其他群体，并通过文件共享服务、网络应用程序、投注公司门户网站、成人内容网页、动漫社区和其他渠道传播。攻击者在这一波攻击中还使用了Amadey木马，与Lumma一样，Amadey木马也会窃取流行浏览器和加密货币钱包的凭证，还可以截图、获取远程访问服务的凭证，并将远程访问工具下载到受害者的设备上，让攻击者获得完全访问权。

卡巴斯基大中华区总经理 郑启良表示说：“攻击者不断改进他们的方法，通过将威胁伪装成熟悉的提示（如 CAPTCHA 或浏览器错误消息），他们利用了我们日常在线交互中的信任。此活动重点介绍了攻击者如何滥用熟悉的安全检查来诱骗用户运行恶意脚本，而他们往往没有意识到风险。在网络威胁不断演变的时代，用户保持谨慎至关重要。避免点击意外的验证码或提示，尤其是在不熟悉的网站上，并使用强大的安全软件保护您的设备，以降低成为受害者的风险”。

攻击者购买了一些广告位，如果用户看到这些广告并点击，就会被重定向到恶意资源，这是一种常见的攻击策略。这波新的攻击活动涉及到一个显著扩大的分发网络，并引入了一种新的攻击场景，从而影响到更多受害者。现在，用户可能会被虚假的验证码提示或 Chrome 浏览器网页错误信息所引诱，成为具有新功能的窃取器的受害者。企业用户和个人用户都应该谨慎行事，并在遵循任何可疑的在线提示之前进行批判性思考，”卡巴斯基安全专家Vasily Kolesnikov评论说。

更多详情请参阅Securelist.

要阻止与窃取器相关的威胁，请遵循以下建议。

企业用户：

· 在专门的卡巴斯基数字足迹情报落地页面检查贵公司设备或网络应用程序的凭证是否已被窃取；

· 使用专门的安全解决方案，如带有应用程序和网络控制功能的卡巴斯基网络安全解决方案；行为分析有助于快速检测恶意活动；

· 通过使用提供全面员工网络培训的在线工具，提高员工的数字素养，最大限度地减少人为因素带来的网络安全风险。

个人用户：

· 在所有设备上使用一款全面的安全解决方案，例如卡巴斯基高级版，避免打开可疑的页面或钓鱼邮件；

· 使用卡巴斯基密码管理器安全地存储您的密码。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球2000,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.