Hãy coi chừng ‘CAPTCHA’ mới lén lút này lừa bạn cài đặt phần mềm độc hại

Đây, một mẹo máy tính nóng đến với bạn ngay từ năm 1995: đừng nhập nội dung ngẫu nhiên vào thanh lệnh Windows Run. Điều này có vẻ hiển nhiên đối với bất kỳ ai biết “run” có nghĩa là gì trong bối cảnh PC, nhưng một phần mềm độc hại ngu ngốc nhưng khéo léo đang lan truyền trên web theo cách này. Nó không hoàn toàn ngu ngốc như người ta tưởng... nhưng nó vẫn khá ngu ngốc.

Cốt truyện diễn ra như vậy: Bạn đang duyệt một trang web hơi sơ sài hoặc có thể chỉ là một trang web bình thường không cảnh giác như lẽ ra phải chống lại những quảng cáo sơ sài. Bạn thấy một cảnh báo CAPTCHA hướng dẫn bạn nhấp vào hộp nhỏ để hiển thị cho bạn thấy Lôi không phải là robot. (Đó là một điều tự phụ đối với bất kỳ loại công cụ tự động nào, nhưng tôi lạc đề.) Nhưng thay vì yêu cầu bạn đánh vần một số văn bản vô nghĩa hoặc nhấp vào tất cả các ô vuông bằng đèn đường, nó có một danh sách các bước được đánh số để bạn thể hiện tính nhân văn của mình.

Phòng thí nghiệm MalwareBytes phát hiện một CAPTCHA như vậy yêu cầu người dùng tiềm năng thực hiện ba bước bất thường. Đầu tiên, nhấn phím Windows + R. Thứ hai, nhấn Ctrl + V. Thứ ba, nhấn Enter.

Bây giờ, nếu bạn đã sử dụng Windows dù chỉ một chút, chuông báo động sẽ vang lên trong đầu bạn. Hóa ra, cửa sổ bật lên “verification” đang cố gắng yêu cầu bạn mở lệnh Windows Run, dán một chút văn bản mà trang web đã lẻn vào bảng tạm của bạn qua JavaScript khi bạn nhấp vào “Tôi không phải là robot,” rồi chạy nó. Tất cả những điều đó khá lén lút, ngay cả khi nó chỉ hoạt động trên Windows và trên những người dùng ít hiểu biết về công ngh.

Nhưng ở đây, phần khéo léo: văn bản mà trang web sao chép vào bảng tạm của bạn bắt đầu bằng “Tôi không phải là robot – reCAPTCHA ID xác minh: XXXX” hoặc thứ gì đó tương tự. Khi nó xảy ra, đây là chính xác là nhiều văn bản như nó cần để điền vào lệnh Run theo chiều ngang trong giao diện mặc định của nó. Những gì bạn không thể thấy, ẩn ngoài giới hạn của cửa sổ Run, là một kích hoạt cho lệnh Mshta đó tải về một tập tin nhất định từ một máy chủ web.

MalwareBytes báo cáo rằng những thứ này thường được ngụy trang dưới dạng tệp phương tiện hoặc HTML, nhưng trên thực tế, nó là một công cụ được thiết kế để săn lùng thông tin cá nhân trên hệ thống của bạn và chuyển tiếp thông tin đó trở lại một vị trí từ xa hoặc chỉ là một trojan điều khiển từ xa kiểu cũ.

Thiết lập này dựa vào phản hồi gần như tự động của bạn đối với xác minh CAPTCHA, một chút thiếu hiểu biết về các loại hạt và bu lông của Windows (điều mà tôi nghĩ là vấn đề đối với cả những người không có công nghệ và những người trẻ tuổi, những người cảm thấy thoải mái hơn nhiều trên điện thoại thông minh và iPad so với máy tính xách tay), giao diện người dùng lỗi thời của cửa sổ lệnh Run, và một thiết lập bảo mật lỏng lẻo cho phép JavaScript chạy trên các trang web không quen thuộc. Như tôi đã nói, nó đồng thời ngu ngốc và khá xuất sắc.

Bảo mật Windows 10 hoặc 11 cơ bản nên gắn cờ các tệp độc hại khi chúng đang được tải xuống, tương tự như bảo mật dựa trên trình duyệt yêu cầu xác minh cho JavaScript. Nhưng các nhà nghiên cứu của MalwareBytes cho biết họ đã thấy thiết lập này trong nhiều triển khai với nhiều loại tải trọng bất chính, vì vậy có lẽ ai đó ngoài kia đang yêu thích nó.