近日,一種新型的惡意軟件攻擊利用假冒的「驗證碼」(CAPTCHA)來誘騙用戶安裝惡意軟件,引起了網絡安全專家的關注。根據報導,這種攻擊手法不僅狡猾,還試圖利用用戶對常見驗證程序的自動反應。
攻擊的操作方式如下:用戶在瀏覽一些可疑網站時,可能會遇到一個看似正常的 CAPTCHA 驗證框。然而,這個假冒的 CAPTCHA 不會讓用戶完成傳統的測試(例如選擇包含街燈的圖片),而是提供一系列步驟,要求用戶按下「Windows 鍵 + R」、接著執行「Ctrl + V」,並最後按下「Enter」。這些步驟實際上是利用 JavaScript 將惡意指令複製到剪貼板,最終在 Windows 的「執行」命令框中執行。
更令人擔憂的是,這些指令表面上看似無害,例如以「I am not a robot – reCAPTCHA Verification ID: XXXX」開頭,巧妙地掩蓋了後續隱藏的惡意指令。當用戶執行這些指令後,可能會下載一個惡意文件,這些文件往往偽裝成媒體或 HTML 文件,實際上卻是用來竊取個人信息或實現遠程控制的工具。
這類攻擊主要針對不熟悉 Windows 操作系統的用戶,尤其是年輕一代更習慣於使用智能手機和平板電腦,而對電腦安全知識較為陌生。儘管 Windows 10 和 11 的內建安全功能可以在下載惡意文件時發出警告,但研究人員發現,許多人仍然可能因不警覺而中招。
