تازه ها

امنیت

فناوری اطلاعات

February 18, 2026
12:58 چهارشنبه، 29ام بهمنماه 1404
کد خبر: 212668

خطر در کمین کامپیوترهای ویندوزی؛ مراقب کپچای جعلی باشید

منبع: زومیت

هکرهای حفره‌ی امنیتی مهم و خطرناکی را شناسایی کرده‌اند که از طریق کپچا، سیستم کاربر را آلوده می‌کند.
مهاجمان و هکرها حفره‌ای را شناسایی کرده‌اند که به آن‌ها اجازه می‌دهد با استفاده از صفحات جعلی CAPTCHA، کاربران ویندوز را فریب دهند و بدافزار Stealthy StealC Information Stealer را اجرا کنند.

پژوهشگران امنیتی LevelBlue اعلام کرده‌اند StealC اطلاعاتی مانند اعتبارنامه‌های مرورگر، کیف‌پول‌های رمزارزی، حساب‌های استیم، اطلاعات اوت‌لوک، اطلاعات سیستمی و اسکرین‌شات‌ها را از طریق ترافیک HTTP رمزگذاری‌شده با RC4 به سرور فرمان و کنترل (C2) منتقل می‌کند.

این کارزار مهندسی اجتماعی از صفحات تأیید هویت جعلی کپچا در وب‌سایت‌های آلوده بهره می‌برد؛ صفحاتی که بررسی‌های امنیتی مشابه Cloudflare را شبیه‌سازی می‌کنند. در نتیجه، برخی کاربران ویندوز بدون اطلاع، دستورات مخرب PowerShell را که در قالب فرایند عادی تأیید نمایش داده می‌شود، به‌صورت دستی اجرا می‌کنند.

ماهیت واقعی کپچا برای بسیاری روشن نیست؛ اما با گسترش عصر هوش مصنوعی، تشخیص انسان از ربات در فضای آنلاین اهمیت بیشتری پیدا کرده است. کپچا با هدف جلوگیری از اسپم و مقابله با تلاش‌ برای شکستن رمز عبور طراحی شده‌اند؛ اما صرف دقت در انتخاب وب‌سایت‌ها برای کاهش ریسک‌های امنیتی کافی نیست، چون مهاجمان از روش‌های پیچیده‌تری استفاده می‌کنند.

در نمونه‌ای از این حمله، کاربران ویندوز وارد سایتی ظاهراً معتبر می‌شوند که پیش‌تر توسط هکرها آلوده شده است. کد جاوااسکریپت مخرب در آن سایت بارگذاری می‌شود و صفحه‌ای جعلی با ظاهر رابط تأیید Cloudflare را نمایش می‌دهد. اما به‌جای نمایش آزمون تصویری، صفحه‌ی جعلی از کاربر می‌خواهد برای تکمیل فرایند تأیید، کلید Windows + R را فشار دهد، سپس Ctrl + V را بزند و در نهایت اینتر را انتخاب کند.

روش مذکور که ClickFix نام دارد، بر اعتماد کاربران به پیام‌های ساده‌ی کیبورد تکیه می‌کند؛ پیام‌هایی که معمولاً هنگام تعامل با منابع به‌ظاهر معتبر، کمتر مورد تردید قرار می‌گیرند و شبیه بررسی عادی امنیتی به نظر می‌رسند.

با اجرای این میانبرها، دستور مخرب پاورشل از پیش در حافظه‌ی کلیپ‌بورد قرار می‌گیرد و هنگام جای‌گذاری در پنجره‌ی Run اجرا می‌شود؛ بدون آن‌که هشدار دانلود مرورگر یا اخطار امنیتی فعال شود.

در ادامه، اسکریپت پاورشل به سروری راه دور متصل می‌شود تا کد اصلی را دریافت کند. این فرایند دانلودگری را فعال می‌کند که ممکن است از سد برخی سازوکارهای رایج مقابله با حملات عبور کند.

برای تقویت امنیت، می‌توان اجرای اسکریپت‌ها را محدود کرد، کنترل سخت‌گیرانه‌تری بر اجرای اپ‌ها در ویندوز اعمال کرد و ترافیک خروجی شبکه را زیر نظر گرفت تا خطر افشای اعتبارنامه‌ها کاهش یابد؛ اقداماتی که اجرای آن‌ها به دانش فنی نیاز دارد.

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.