In de afgelopen maanden is er een verontrustende phishingtechniek opgedoken. Deze speelt in op de vertrouwdheid van gebruikers met CAPTCHA-veiligheidscontroles en misbruikt de routine van het bevestigen hiervan. Gebruikers worden misleid tot het uitvoeren van opdrachten die leiden tot installatie van malware, zoals de Lumma Stealer.
Hoe werkt deze aanval?
Gebruikers krijgen een ogenschijnlijk legitieme CAPTCHA-verificatie te zien met de melding "Ik ben geen robot". Na het klikken verschijnt een pop-upvenster met instructies die de gebruiker vragen om de volgende handelingen uit te voeren:
Druk op de Windowstoets + R: Dit opent het 'Uitvoeren'-dialoogvenster van Windows.
Druk op Ctrl + V: Dit plakt een vooraf gekopieerde PowerShell-opdracht in het dialoogvenster.
Druk op Enter: Dit voert de geplakte opdracht uit, wat resulteert in de download en installatie van malware.
De effectiviteit van deze aanval ligt in de manier waarop het inspeelt op het automatisme van gebruikers bij het uitvoeren van routinetaken. CAPTCHA's worden vaak gezien als standaardprocedures, waardoor gebruikers minder alert zijn op mogelijke bedreigingen. Door de gebruiker zelf de opdracht te laten uitvoeren, omzeilt de aanvaller traditionele beveiligingsmaatregelen die verdachte downloads of uitvoeringen detecteren.
Beschermingsmaatregelen
Om deze aanval te voorkomen, kunnen organisaties en gebruikers de volgende maatregelen nemen:
Wees waakzaam bij ongebruikelijke CAPTCHA-instructies Legitieme CAPTCHA's zullen nooit vragen om systeemopdrachten uit te voeren zoals het openen van het -dialoogvenster.
Gebruik up-to-date beveiligingssoftware: Zorg ervoor dat antivirus- en antimalwaresoftware actueel is en real-time bescherming biedt.
Beperk of schakel PowerShell uit: Voor gebruikers die PowerShell niet nodig hebben, kan het beperken of uitschakelen ervan een extra beveiligingslaag bieden.
Schakel Constrained Language Mode (CLM) in voor PowerShell: Hierdoor worden gevaarlijke functies zoals IEX en IRM, die vaak worden gebruikt in dit soort aanvallen, geblokkeerd.
Blokkeer het Win+R 'Uitvoeren'-venster: Dit voorkomt dat gebruikers per ongeluk kwaadwillige opdrachten uitvoeren via het 'Uitvoeren'-menu.
Laat awareness trainingen geven door ethische hackers: WhiteHat security-experts kunnen trainingen verzorgen om medewerkers bewuster te maken van dit soort aanvallen en hen te leren verdachte situaties sneller te herkennen.
