SI-CERT opozarja na novo kibernetsko grožnjo, ki se širi prek lažnih CAPTCHA preverjanj na okuženih spletnih straneh. Napadalci uporabnike zavajajo, da s pritiskom posebne kombinacije tipk omogočijo okužbo računalnika z virusom Lumma Stealer, ki krade osebne in finančne podatke.
Od druge polovice leta 2024 so raziskovalci zaznali porast primerov, kjer napadalci vdor v spletne strani izkoristijo za širjenje zlonamerne kode. Okužene strani obiskovalca pozovejo k preverjanju, ali je človek ali robot, podobno kot pri običajnih CAPTCHA testih.
V prvem koraku se preverjanje zdi povsem legitimno – uporabnik mora izbrati slike z določenimi predmeti, na primer avtomobili ali semaforji. Nato pa sistem javlja napako in zahteva, da uporabnik na tipkovnici pritisne kombinacijo tipk Win + R, Ctrl + V in Enter.
Ta preprosta kombinacija sproži nevarno verigo dogodkov:
- Win + R odpre ukazno vrstico sistema Windows,
- Ctrl + V prilepi vnaprej kopirano zlonamerno kodo,
- Enter zažene ukaz in s tem okuži računalnik.
Napadalci na ta način uspešno zaobidejo varnostne zaščite in brez vednosti uporabnika v sistem namestijo trojanskega konja Lumma Stealer. Ta virus je specializiran za krajo gesel, shranjenih v brskalnikih, piškotkov, zgodovine brskanja ter podatkov iz kriptodenarnic in upravljalnikov gesel. Nekatere različice virusa se po kraji podatkov celo samodejno izbrišejo iz sistema, zaradi česar ga je težko zaznati.
Kako ukrepati, če ste vnesli nevarno kombinacijo tipk?
SI-CERT uporabnikom svetuje, da računalnik takoj obravnavajo kot okuženega in izvedejo naslednje varnostne ukrepe:
- Takoj zamenjajte vsa gesla, ki so bila shranjena v brskalnikih ali upravljalnikih gesel.
- Če ste imeli v računalniku shranjene kriptodenarnice, sredstva takoj prenesite na novo denarnico na neokuženem sistemu.
- Varnostno kopirajte vse pomembne podatke in računalnik ponastavite na tovarniške nastavitve.
Napad je usmerjen izključno na operacijske sisteme Windows, zato uporabniki drugih operacijskih sistemov niso neposredno ogroženi.
Kako se zaščititi pred napadom?
SI-CERT poudarja, da uporabniki nikoli ne bi smeli vpisovati nenavadnih kombinacij tipk, ki jih zahteva spletna stran. V primeru sumljivega CAPTCHA preverjanja je najbolje spletno stran zapustiti in jo prijaviti pristojnim organom. Prav tako priporočajo uporabo posodobljenega protivirusnega programa ter redno varnostno kopiranje podatkov.
Napadi s socialnim inženiringom, kot je ta, so vedno bolj prefinjeni in zavajajo tudi izkušene uporabnike. SI-CERT zato poziva k povečani previdnosti pri uporabi spleta in spremljanju uradnih varnostnih opozoril.
