Читатели Gizmodo столкнулись с поддельными CAPTCHA, которые просили их запускать команды в терминале. Для пользователей Windows это заканчивалось установкой трояна удаленного доступа NetSupport RAT. Атака длилась несколько часов и шла через скомпрометированный аккаунт сайта.

Что произошло

Первые сообщения об инциденте появились в минувшие выходные, когда пользователи начали публиковать скриншоты подозрительных всплывающих окон. Их маскировали под проверку «я человек», но вместо обычной CAPTCHA жертв подталкивали выполнить действия в терминале.

Это классическая ClickFix-атака — схема, где жертву убеждают сама запустить вредоносную команду. Обычно злоумышленники давят на спешку и бытовые объяснения: якобы «не грузится страница», «сломалось отображение» или «нужно подтвердить, что вы не бот».

Как работала схема

В основе лежит социальная инженерия. Человеку показывают знакомый интерфейс проверки и просят не просто нажать кнопку, а вручную вставить команду в PowerShell или терминал. После этого он сам запускает вредоносный код на своей машине.

В случае с Gizmodo содержимое поддельной CAPTCHA зависело от операционной системы. На Windows атакующие пытались установить NetSupport RAT — троян, который маскируется под легитимный инструмент удаленного администрирования и дает злоумышленникам доступ к зараженной системе.

Для macOS приготовили другую нагрузку, но она, судя по описанию, не сработала: вредонос лежал в ZIP-архиве с паролем. Похожую логику атак эксперты разбирали и в материале про фальшивые чеки и callback-фишинг — там мошенники тоже играли на доверии к привычному сценарию проверки.

Кого задело и чем все закончилось

Под удар попали читатели Gizmodo, которые застали вредоносные окна в короткий промежуток времени. Представители издания заявили, что быстро нашли проблему, удалили скрипт и временно отключили сайт.

По их словам, злоумышленники использовали скомпрометированный аккаунт, чтобы внедрить вредоносный код. После этого команда сайта закрыла дыру в безопасности и восстановила контроль над учетной записью.

Такие атаки опасны именно тем, что выглядят буднично. Пользователь думает, что решает обычную проблему с сайтом, а на деле сам запускает вредоносную команду. Если вы сталкиваетесь с подобными окнами, не вводите команды вручную и не доверяйте «проверкам», которые требуют открыть терминал.

Для защиты переписки и рабочих аккаунтов в чужой или ненадежной сети полезно заранее включать [дополнительный слой защиты для трафика]https://freedome.space. Это не отменяет базовую осторожность, но помогает снизить риск перехвата данных в дороге и на общих точках доступа.

Что делать прямо сейчас

Если вы увидели подозрительную CAPTCHA или окно с просьбой открыть терминал, действуйте без спешки. Не копируйте команды, не разрешайте запуск скриптов и закройте вкладку.

Если на экране уже появлялось что-то похожее на инструкцию к PowerShell или терминалу, проверьте устройство на вредоносные программы. А если речь идет о рабочем компьютере, сообщите в ИТ-службу: такие инциденты лучше разбирать сразу, пока вредонос не закрепился в системе.

Если вы часто заходите в личные кабинеты, банковские сервисы и почту из чужих или публичных сетей, используйте отдельный защищенный канал связи и обновляйте программы вовремя. Для браузера, почты и мессенджеров это особенно важно: именно через них злоумышленники чаще всего подсовывают поддельные окна и ссылки.

  • Не вводите команды в терминале по просьбе сайта или всплывающего окна.
  • Закрывайте вкладку, если CAPTCHA просит сделать что-то необычное.
  • Проверьте систему антивирусом, если уже что-то запускали.
  • Обновите браузер и операционную систему.
  • Смените пароли к важным аккаунтам, если есть подозрение на компрометацию.
  • Включите двухфакторную аутентификацию там, где это возможно.
  • Используйте отдельный защищенный канал связи для личных и рабочих аккаунтов вне дома.
Поделиться: