Vorsicht manipuliertes Captcha: Windows-Nutzer müssen aufpassen
ReCaptchas sind ein probates Mittel, um Bots von bestimmten Maßnahmen abzuhalten. Die eigentlich sichere Methode wird jüngst von Cyberkriminellen missbraucht, um Schadsoftware auf den Computer einzuschleusen. Laut Malwarebytes zielten die Angreifer zu Beginn auf Mitarbeiter großer Unternehmen ab. Aufgrund der Funktion kann es aktuell jeden Windowsnutzer treffen.
Wie perfide Cyberkriminelle vorgehen
Mal eben einen Film schauen, etwas Musik hören oder die aktuellen Technews lesen – dies sind alles harmlose Tätigkeiten, den die meisten Menschen fast jeden Tag nachgehen. Auf diese Gewohnheiten haben es Kriminelle mit ihrer Masche abgesehen. Dazu designen sie eigene Websites, die beispielsweise mit aktuellen Nachrichten oder Abos locken. So sollen ahnungslose Opfer angelockt werden.
Klickt ein User auf eine solche Seite, öffnet sich direkt ein Captcha, durch das sich der Nutzer als Mensch ausweisen soll. Bestätigt man im Anschluss die „I`m not a robot-Abfrage“, öffnet sich nicht die Website, sondern es wird eine manipulierte JavaScript-Funktion ausgeführt. Diese Funktion (document.execCommand("Copy")) schreibt heimlich einen Befehl in die Zwischenablage.
Während der Befehl in die Ablage kopiert wird, erhält der Nutzer eine Anleitung, die er befolgen soll, um sich zu verifizieren. Folgt man der Anleitung, gibt man dem Schadcode einen Freifahrtschein. Dieser Code lädt im Hintergrund bösartige Software herunter, die mittels der „mshta-Installationsroutine“ ausgeführt wird. Dadurch können Kriminelle an sensible Daten gelangen.
Im Detail erklärt, öffnet die Installationsroutine eine spezifische Domain und lädt dort eine schadhafte Datei herunter. Die Domain als auch die Dateien unterscheiden sich stets voneinander. Die Profis von Malwarebytes entdeckten unter anderem manipulierte MP3, MP4, JPG oder HTML-Dateien.
Was Nutzer machen können
Am sichersten sind Nutzer, indem sie Javascript deaktivieren. Da aber viele moderne Websites auf Javascript setzen, fällt diese Methode als wenig praktikabel aus. Besser ist es daher nicht unüberlegt Anweisungen zu folgen und im geschäftlichen Bereich sind Mitarbeiterschulungen unerlässlich. Ebenso sollte die Antivirensoftware als auch das Betriebssystem auf einem aktuellen Stand gehalten werden. Selbiges gilt im Übrigen für den Webbrowser und das kann durchaus ein Glücksgriff sein.
Hintergrund ist, dass der Javascript-Befehl document.execCommand() als veraltet gilt und von modernen Browsern nicht mehr ausführbar ist. Zusammengefasst ist Folgendes essenziell:
- Anweisungen nicht unüberlegt Folge leisten
- Mitarbeiter schulen
- Sicherheitsupdates einspielen
- Antivirensoftware und den Webbrowser aktuell halten
Wir empfehlen Bitdefender Total Security 2025 (auf Amazon verfügbar).
Quelle(n)
Malwarebytes (Englisch), W3Schools (Englisch), Bildquelle: Malwarebytes
