Fake CAPTCHA – это тип социальной инженерии, при которой злоумышленники используют поддельные формы CAPTCHA для побуждения пользователей выполнить вредоносный код. Такие атаки стали все более распространёнными и нацелены как на отдельных пользователей, так и на корпоративные среды.
Фальшивые CAPTCHA могут встраиваться:
Основной сценарий начинается с перехода на сайт, предлагающий привлекательный контент. Таким контентом может быть бесплатная фильмотека, музыка или раздача программного обеспечения. Далее для пользователя отображается стандартный элемент CAPTCHA, например, чекбокс «Я не робот» или похожий элемент. После его активации на экране появляется краткая инструкция якобы для «дополнительной проверки» аккаунта иди доступа к контенту. Инструкция составлена так, чтобы не вызывать подозрений и не требовать глубоких технических знаний.
Пользователь воспринимает сочетание таких простых действий как нейтральную операцию. Именно это делает атаку столь эффективной. К этому моменту злоумышленники уже скопировали в буфер скрытую PowerShell-команду. При вставке и подтверждении она исполняется и запускает скачивание вредоносной нагрузки с удалённого сервера.
Последствия могут быть крайне серьёзными. Главной целью злоумышленников обычно является кража данных. На рынке киберпреступности распространены стилеры - программы, которые собирают из системы всё ценное. Они извлекают учётные записи, пароли из браузеров и настольных приложений, автозаполненные формы, cookie и историю посещений.
Среди распространённых дополнений к вредоносам — кейлоггеры, перехватывающие вводимые логины и пароли, удалённые инструменты администрирования (RAT), дающие полный контроль над устройством, и вымогатели, шифрующие файлы и требующие выкуп, что благодаря модульной архитектуре превращает единичное заражение в продолжительную многослойную угрозу.
Важно понимать, что техника внедрения Fake CAPTCHA эволюционирует и всё чаще выводится за пределы обычных сайтов в мессенджеры. Одним из актуальных векторов стала платформа Telegram. Здесь атакующие комбинируют поддельные CAPTCHA с фейк-аккаунтами и поддельными каналами, создавая многослойную цепочку обмана.
Характерный кейс связан с фишинговой кампанией по предоставлению бесплатной подписки Telegram Premium.
Пользователи получали сообщения в Telegram от знакомых (часто со взломанных аккаунтов) с уведомлением о якобы подаренной подписке Telegram Premium на 12 месяцев. Сообщение содержало кнопку или ссылку «Активировать Premium» / «Получить подписку», которая визуально выглядела как переход на официальный ресурс, но вела на фишинговый сайт.
Фишинговый сайт максимально точно имитировал страницу авторизации Telegram Web: тот же дизайн, логотип, поля для ввода номера телефона и кода подтверждения. После ввода номера телефона и кода пользователь видел уведомление и таймер на 24 часа с формулировкой «Время необходимо для активации Telegram Premium». На самом деле в этот момент злоумышленники получали полный доступ к аккаунту: код подтверждения и сессионные данные передавались на их сервер, и аккаунт уже был украден.
Последствия для жертв злоумышленников могут быть весьма неприятными и серьезными: взлом аккаунта Telegram приводит к потере доступа к перепискам, медиа и контактам, а также позволяет мошенникам от имени жертвы рассылать знакомым «подарочные» ссылки, требовать переводы денег или отправлять на фишинговые сайты, создавая цепную реакцию и масштабируя кампанию.
Существуют практические примеры использования Fake CAPTCHA на GitHub. Один из таких примеров - репозиторий recaptcha-phish, воспроизводящий атаку ClickFix с фейковой CAPTCHA. Страница имитирует настоящий reCAPTCHA от Google с кнопкой «Я не робот», а после нажатия показывает окно с инструкцией нажать Win+R , вставить вредоносный PowerShell-скрипт (автоматически скопированный в буфер обмена) и нажать Enter. Фейковая валидация отображает статус «
I am not robot - reCAPTCHA Verification ID: 7624», а заблокированная кнопка «Verify» подталкивает пользователя к выполнению вредоносных действий. Аналогичный инструмент DEDSEC_CLICKFIX реализует ту же схему для Linux.
Из актуальных примеров использования Fake CAPTCHA – обнаружен новый способ социальной инженерии, который использует поддельные страницы проверки CAPTCHA для обмана пользователей Windows.
Злоумышленники создают поддельные страницы CAPTCHA, которые выглядят как обычные проверки «Я не робот». Пользователи переходят на эти сайты, не подозревая об опасности.
После нажатия на чекбокс «Я не робот» пользователю предлагается запустить вредоносную программу-инфостилер StealC. Это происходило через обман: пользователь воспринимает действия, как проверку, в действительности же запускает вредоносное ПО.
Что именно крадет StealC?
Инфостилер StealC специализируется на сборе конфиденциальной информации с заражённых устройств:
• Пароли из браузеров;
• Учётные записи и сессионные данные;
• Файлы криптокошельков;
• Автозаполненные формы;
• История посещений;
• Cookie-файлы.
После сбора данные передаваются на сервер злоумышленников для последующей продажи на тёмных площадках.
Описанный пример является продолжением техники ClickFix, которая массово использовалась против российских компаний в 2025 году. Тогда злоумышленники маскировались под силовые ведомства, рассылали PDF-документы с размытым текстом и заставляли пользователей подтверждать, что они не роботы.
Кнопка «Я не робот» вела на сайт злоумышленников, где открывалось ещё одно окно с Fake CAPTCHA. Скрипт скачивал изображение в формате PNG с сервера атакующих, из него извлекалась вредоносная программа Octowave Loader, содержащая код запуска трояна удалённого доступа (RAT).
Почему это особенно важно?
Описанные примеры показывают, что Fake CAPTCHA не исчезла, а эволюционировала:
• От ClickFix к StealC;
• От таргетированных атак на корпорации к массовым атакам на частных пользователей;
• От RAT-троянов для шпионажа к инфостилерам для кражи данных.
Это подтверждает, что Fake CAPTCHA стала устойчивой тактикой киберпреступников, которая продолжает развиваться и адаптироваться к новым угрозам. Пользователи доверяют привычным элементам интерфейса, и это доверие используется против них.
Не стоит терять бдительность и в повседневной жизни. Следует учитывать следующее, настоящая проверка CAPTCHA никогда не требует:
• Запуска программ из буфера обмена;
• Ввода команд в командной строке;
• Скачивания файлов через PowerShell;
• Подтверждения через сторонние сайты.
Если страница CAPTCHA просит выполнить что-то из этого — это фейк.
Фальшивые CAPTCHA могут встраиваться:
- Через вредоносную рекламу на скомпрометированных сайтах;
- Через ресурсы, ориентированные на массовую аудиторию (сайты с пиратским контентом, онлайн-казино и т. д.).
Основной сценарий начинается с перехода на сайт, предлагающий привлекательный контент. Таким контентом может быть бесплатная фильмотека, музыка или раздача программного обеспечения. Далее для пользователя отображается стандартный элемент CAPTCHA, например, чекбокс «Я не робот» или похожий элемент. После его активации на экране появляется краткая инструкция якобы для «дополнительной проверки» аккаунта иди доступа к контенту. Инструкция составлена так, чтобы не вызывать подозрений и не требовать глубоких технических знаний.
Пользователь воспринимает сочетание таких простых действий как нейтральную операцию. Именно это делает атаку столь эффективной. К этому моменту злоумышленники уже скопировали в буфер скрытую PowerShell-команду. При вставке и подтверждении она исполняется и запускает скачивание вредоносной нагрузки с удалённого сервера.
Последствия могут быть крайне серьёзными. Главной целью злоумышленников обычно является кража данных. На рынке киберпреступности распространены стилеры - программы, которые собирают из системы всё ценное. Они извлекают учётные записи, пароли из браузеров и настольных приложений, автозаполненные формы, cookie и историю посещений.
Среди распространённых дополнений к вредоносам — кейлоггеры, перехватывающие вводимые логины и пароли, удалённые инструменты администрирования (RAT), дающие полный контроль над устройством, и вымогатели, шифрующие файлы и требующие выкуп, что благодаря модульной архитектуре превращает единичное заражение в продолжительную многослойную угрозу.
Важно понимать, что техника внедрения Fake CAPTCHA эволюционирует и всё чаще выводится за пределы обычных сайтов в мессенджеры. Одним из актуальных векторов стала платформа Telegram. Здесь атакующие комбинируют поддельные CAPTCHA с фейк-аккаунтами и поддельными каналами, создавая многослойную цепочку обмана.
Характерный кейс связан с фишинговой кампанией по предоставлению бесплатной подписки Telegram Premium.
Пользователи получали сообщения в Telegram от знакомых (часто со взломанных аккаунтов) с уведомлением о якобы подаренной подписке Telegram Premium на 12 месяцев. Сообщение содержало кнопку или ссылку «Активировать Premium» / «Получить подписку», которая визуально выглядела как переход на официальный ресурс, но вела на фишинговый сайт.
Фишинговый сайт максимально точно имитировал страницу авторизации Telegram Web: тот же дизайн, логотип, поля для ввода номера телефона и кода подтверждения. После ввода номера телефона и кода пользователь видел уведомление и таймер на 24 часа с формулировкой «Время необходимо для активации Telegram Premium». На самом деле в этот момент злоумышленники получали полный доступ к аккаунту: код подтверждения и сессионные данные передавались на их сервер, и аккаунт уже был украден.
Последствия для жертв злоумышленников могут быть весьма неприятными и серьезными: взлом аккаунта Telegram приводит к потере доступа к перепискам, медиа и контактам, а также позволяет мошенникам от имени жертвы рассылать знакомым «подарочные» ссылки, требовать переводы денег или отправлять на фишинговые сайты, создавая цепную реакцию и масштабируя кампанию.
Существуют практические примеры использования Fake CAPTCHA на GitHub. Один из таких примеров - репозиторий recaptcha-phish, воспроизводящий атаку ClickFix с фейковой CAPTCHA. Страница имитирует настоящий reCAPTCHA от Google с кнопкой «Я не робот», а после нажатия показывает окно с инструкцией нажать Win+R , вставить вредоносный PowerShell-скрипт (автоматически скопированный в буфер обмена) и нажать Enter. Фейковая валидация отображает статус «
I am not robot - reCAPTCHA Verification ID: 7624», а заблокированная кнопка «Verify» подталкивает пользователя к выполнению вредоносных действий. Аналогичный инструмент DEDSEC_CLICKFIX реализует ту же схему для Linux.Из актуальных примеров использования Fake CAPTCHA – обнаружен новый способ социальной инженерии, который использует поддельные страницы проверки CAPTCHA для обмана пользователей Windows.
Злоумышленники создают поддельные страницы CAPTCHA, которые выглядят как обычные проверки «Я не робот». Пользователи переходят на эти сайты, не подозревая об опасности.
После нажатия на чекбокс «Я не робот» пользователю предлагается запустить вредоносную программу-инфостилер StealC. Это происходило через обман: пользователь воспринимает действия, как проверку, в действительности же запускает вредоносное ПО.
Что именно крадет StealC?
Инфостилер StealC специализируется на сборе конфиденциальной информации с заражённых устройств:
• Пароли из браузеров;
• Учётные записи и сессионные данные;
• Файлы криптокошельков;
• Автозаполненные формы;
• История посещений;
• Cookie-файлы.
После сбора данные передаваются на сервер злоумышленников для последующей продажи на тёмных площадках.
Описанный пример является продолжением техники ClickFix, которая массово использовалась против российских компаний в 2025 году. Тогда злоумышленники маскировались под силовые ведомства, рассылали PDF-документы с размытым текстом и заставляли пользователей подтверждать, что они не роботы.
Кнопка «Я не робот» вела на сайт злоумышленников, где открывалось ещё одно окно с Fake CAPTCHA. Скрипт скачивал изображение в формате PNG с сервера атакующих, из него извлекалась вредоносная программа Octowave Loader, содержащая код запуска трояна удалённого доступа (RAT).
Почему это особенно важно?
Описанные примеры показывают, что Fake CAPTCHA не исчезла, а эволюционировала:
• От ClickFix к StealC;
• От таргетированных атак на корпорации к массовым атакам на частных пользователей;
• От RAT-троянов для шпионажа к инфостилерам для кражи данных.
Это подтверждает, что Fake CAPTCHA стала устойчивой тактикой киберпреступников, которая продолжает развиваться и адаптироваться к новым угрозам. Пользователи доверяют привычным элементам интерфейса, и это доверие используется против них.
Не стоит терять бдительность и в повседневной жизни. Следует учитывать следующее, настоящая проверка CAPTCHA никогда не требует:
• Запуска программ из буфера обмена;
• Ввода команд в командной строке;
• Скачивания файлов через PowerShell;
• Подтверждения через сторонние сайты.
Если страница CAPTCHA просит выполнить что-то из этого — это фейк.
