「我不是機器人」藏惡意軟體！偽裝CAPTCHA驗證如何防範

「我不是機器人」偽裝成常見的瀏覽器驗證機制，從而欺騙使用者執行惡意程式碼。記者孫敬／編譯

近期外媒報導，一種新型的惡意軟體攻擊手法，其偽裝成常見的瀏覽器驗證機制，例如Google的reCAPTCHA系統，從而欺騙使用者執行惡意程式碼。這種攻擊結合了社交工程、剪貼簿操控以及混淆的PowerShell指令，巧妙地繞過傳統防毒軟體的偵測。

駭客利用使用者對熟悉的安全介面的信任，並依賴合法的系統工具和使用者互動來達成目的，這使得傳統的防毒軟體難以有效攔截。

延伸閱讀：Chrome擴充功能潛藏資安陷阱！受影響的範圍一次看

[caption id="attachment_176419" align="aligncenter" width="1536"]

熟悉的「我不是機器人」按鈕卻暗藏惡意程式。（圖／AI生成）[/caption]

欺騙性瀏覽器驗證的運作原理與高超偽裝術

據資安專家Alexander Zammit分析，這種攻擊始於使用者在網頁上遇到一個看似標準的瀏覽器安全檢查，其介面設計高度模仿了Google reCAPTCHA系統，甚至包含熟悉的「我不是機器人」勾選框。然而，與傳統CAPTCHA要求點擊方塊或辨識圖片不同，這個偽造的驗證提示會指示用戶執行一系列鍵盤快捷鍵來「完成瀏覽器檢查」。

惡意介面會顯示三個看似無害的步驟：

這種社交工程手法之所以特別有效，是因為它模仿了使者在日常網路使用中經常遇到的合法安全流程。攻擊者精心設計了介面，使其視覺元素和語言都與真實的瀏覽器安全檢查非常相似。

[caption id="attachment_176416" align="aligncenter" width="1024"]

看似沒有問題的執行步驟也藏有惡意程式。（圖／AI生成）[/caption]

技術分析得知，這種攻擊的核心在於其對剪貼簿的精密操控，以及PowerShell混淆技術的巧妙運用。當使用者造訪惡意網站時，JavaScript程式碼會自動且在用戶不知情的情況下，將一段經過高度混淆的PowerShell指令複製到剪貼簿中。這段PowerShell惡意程式碼採用了多層混淆技術，包括base64編碼、字串連接和變數替換，以規避靜態分析工具和防毒軟體的特徵碼偵測。

被混淆的指令通常包含從遠端伺服器下載並執行其他惡意軟體有效負載的指令。安全分析師觀察到，其中一些變體甚至採用了無檔案惡意軟體，即惡意軟體完全在記憶體中運行，不寫入磁碟，這使得偵測變得更具挑戰性。此外，PowerShell的執行也利用了合法的Windows程序和服務，使得惡意軟體能夠與正常的系統操作無縫結合，並透過修改登陸檔或排程任務來持續運作。

為應對這種新型攻擊，組織和使用者可採取多項防禦措施：

• 瀏覽器安全設定： 應配置瀏覽器安全設定，以阻止剪貼簿自動存取。


• 用戶安全意識培訓： 教育用戶識別真正的CAPTCHA系統與這些欺騙性提示之間的差異。應強調，合法的瀏覽器驗證絕不會要求使用者透過Windows「執行」對話框或命令提示字元來執行指令。


• 端點偵測與回應（EDR）解決方案： 應配置EDR系統以監控異常的PowerShell執行模式，特別是那些涉及網路連線或系統修改的行為。


• 網路安全設備： 可設定網路安全設備以偵測與這些攻擊相關的特定流量模式，包括初始有效負載的傳遞和後續的命令與控制通訊。


• 應用程式白名單與PowerShell執行策略： 設置應用程式白名單和PowerShell執行策略，阻止未經授權的執行檔運行。

這篇文章 「我不是機器人」藏惡意軟體！偽裝CAPTCHA驗證如何防範 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。