自 2024 年下半年以来，一种愈演愈烈的攻击趋势是，威胁行为者利用虚假的验证码（CAPTCHA）验证挑战来诱使用户执行恶意的 PowerShell 命令，并让危险的恶意软件感染他们的系统。

这些复杂的社会工程策略利用了用户对合法验证码验证流程的熟悉度，来传播 Lumma Stealer，这是一种能够窃取信息的恶意软件，可提取加密货币钱包以及其他敏感数据。

攻击始于用户被网络广告、搜索引擎优化劫持，或从已遭入侵的网站跳转等方式引诱至恶意网站。

这些恶意网站会显示看似合法的虚假验证码验证挑战，常常模仿广为人知的验证码界面。

惠普（HP）的分析师指出，攻击者主要依赖那些为新用户提供免费额度的云托管服务提供商，这些服务提供商为开展恶意软件攻击活动提供了充足的资源。

这种方式有助于绕过检测，因为其 IP 地址和域名通常都看起来信誉良好，使得威胁行为者能够绕过诸如依赖网站信誉的网络代理之类的网络安全防护措施。

当用户通过点击 “我不是机器人” 按钮与这些虚假的验证码进行交互时，恶意的 JavaScript 代码会在后台执行，偷偷地将一条 PowerShell 命令复制到用户的剪贴板上。

然后，用户会被指示使用 WIN+R 键盘快捷键打开 Windows 运行对话框，并使用 CTRL+V 粘贴内容，在不知不觉中执行了恶意代码。

这条 PowerShell 命令被故意混淆且简短，该命令会下载并执行一个大得多的恶意脚本，其大小可能超过 50 MB。

感染链条

下载的脚本会检查设备上是否已经存在该恶意软件，如果不存在，就会将一个 Base64 字符串解码成存储在 AppData 文件夹中的一个 ZIP 压缩文件。

解压后，它会执行一个名为 Set-up.exe 的文件，并创建一个名为 “NetUtilityApp” 的注册表启动项，以便恶意软件能持续运行。

该恶意软件使用了一种名为动态链接库（DLL）旁加载的技术，即一个经过合法签名的可执行文件会加载多个动态链接库，其中一个 StarBurn.dll 包含恶意的 Lumma Stealer 有效载荷。

负责此次攻击的 JavaScript 代码会创建一个临时文本区域元素，将 PowerShell 命令复制到剪贴板上，然后删除该元素以隐藏操作痕迹。

这种复杂的技术使得攻击者能够利用用户的合法操作来启动感染过程，从而绕过传统的安全机制。