Thay vì CAPTCHA thông thường, họ gặp phải một chuỗi hướng dẫn tưởng chừng vô hại nhưng thực chất là bẫy.
Một mối đe dọa mạng mới vừa được phát hiện, sử dụng kỹ thuật xã hội tinh vi để lừa người dùng tự lây nhiễm phần mềm độc hại vào thiết bị của họ. Theo Malwarebytes, phương pháp này ngụy trang các công cụ độc hại dưới dạng yêu cầu CAPTCHA – một biện pháp xác minh quen thuộc mà người dùng thường không nghi ngờ. Tuy nhiên, thay vì bảo vệ, những tệp này – thường là tệp đa phương tiện hoặc HTML – lại được thiết kế để đánh cắp thông tin cá nhân hoặc hoạt động như trojan truy cập từ xa.
![Chiến thuật đe dọa mạng mới: Giả mạo CAPTCHA để phát tán phần mềm độc hại]( "Chien thuat de doa mang moi: Gia mao CAPTCHA de phat tan phan mem doc hai")
Cuộc tấn công bắt đầu khi người dùng truy cập một trang web và được yêu cầu xác minh “không phải robot”. Thay vì CAPTCHA thông thường, họ gặp phải một chuỗi hướng dẫn tưởng chừng vô hại nhưng thực chất là bẫy. Ví dụ, thông báo có thể yêu cầu: “Nhấn và giữ phím Windows + R, dán mã xác minh bằng Ctrl + V, rồi nhấn Enter để hoàn tất”. Những bước này nhằm kích hoạt lệnh độc hại mà người dùng vô tình thực thi.
![Chiến thuật đe dọa mạng mới: Giả mạo CAPTCHA để phát tán phần mềm độc hại 2]( "Chien thuat de doa mang moi: Gia mao CAPTCHA de phat tan phan mem doc hai 2")
Đằng sau đó, trang web sử dụng JavaScript để sao chép lệnh nguy hiểm vào clipboard. Trong các trình duyệt dựa trên Chromium, việc này khả thi nhờ quyền ghi clipboard – quyền mà Windows mặc định coi là đã được cấp khi người dùng đánh dấu “Tôi không phải là robot”. Lệnh được dán vào hộp thoại Run trông giống thông báo xác minh, nhưng thực tế là kích hoạt lệnh “mshta” để tải tệp độc hại từ máy chủ từ xa. Tệp này thường giả dạng MP3 hoặc MP4, chứa lệnh PowerShell mã hóa để âm thầm cài đặt phần mềm độc hại như Lumma Stealer hoặc SecTopRAT – cả hai đều nhắm đến việc trích xuất dữ liệu nhạy cảm.
![Chiến thuật đe dọa mạng mới: Giả mạo CAPTCHA để phát tán phần mềm độc hại 3]( "Chien thuat de doa mang moi: Gia mao CAPTCHA de phat tan phan mem doc hai 3")
Phương pháp này nguy hiểm vì khai thác lòng tin vào CAPTCHA, khiến ngay cả người dùng cẩn thận cũng có thể trở thành nạn nhân. Để bảo vệ mình, Malwarebytes khuyến cáo người dùng nên thận trọng với hướng dẫn từ các trang web không quen thuộc, đồng thời sử dụng phần mềm chống độc hại chủ động để chặn tập lệnh và trang web nguy hiểm. Các tiện ích mở rộng trình duyệt chặn tên miền lừa đảo cũng là một lớp phòng thủ hữu ích.
Dù tắt JavaScript có thể ngăn chặn chiếm đoạt clipboard, điều này lại gây bất tiện khi lướt web. Malwarebytes gợi ý giải pháp thực tế hơn: dùng trình duyệt riêng biệt cho các trang web đáng tin cậy và một trình duyệt khác cho những nơi ít an toàn, giảm thiểu rủi ro mà vẫn đảm bảo trải nghiệm mượt mà