„Beweisen Sie, dass Sie ein Mensch sind“ – Wie Angreifer CAPTCHA-Systeme für Malware-Kampagnen missbrauchen

24. Juni 2025

In einer neuen Angriffswelle missbrauchen Cyberkriminelle gängige CAPTCHA-Systeme, um das Vertrauen der Nutzer auszunutzen und Schadsoftware auf Windows-Systemen zu verbreiten. Die Kampagne tarnt sich hinter vermeintlich harmlosen Verifizierungsmechanismen und nutzt gefälschte Websites, die legitime Plattformen wie Gitcodes oder DocuSign nachahmen. Ziel ist die Installation des Fernzugriffstrojaners NetSupport RAT.

Täuschung durch bekannte Marken

Im Zentrum der Angriffe stehen gefälschte Webseiten wie gitcodes[.]org oder docusign.sa[.]com, die mit vertrauenswürdigen Markenauftritten und bekannten Slogans locken. Nutzer werden dort mit einer vermeintlichen CAPTCHA-Herausforderung konfrontiert. Statt das übliche Anklicken von Bildern zu verlangen, fordern diese Seiten dazu auf, ein PowerShell-Skript zu kopieren und über Win+R auszuführen – ein hochgefährlicher Vorgang.

Das erste Skript fungiert dabei lediglich als Türöffner: Es lädt nachgelagerte Komponenten von Domains wie tradingviewtool[.]com nach und stößt einen mehrstufigen Infektionsprozess an, der in der Ausführung des NetSupport RAT endet. Die Malware wird über Registrierungs-Keys oder den Autostart-Ordner im System verankert und tritt dort unter Namen wie „My Support“ oder client32.exe in Erscheinung.

Zwischenablage-Angriffe und verschleierte Skripte

Besonders perfide ist der Einsatz sogenannter Clipboard-Poisoning-Techniken: Bei gefälschten DocuSign-Seiten wird ein ROT13-verschlüsseltes PowerShell-Skript automatisch in die Zwischenablage kopiert. Klickt der Nutzer auf ein gefälschtes Kontrollkästchen, genügt ein Druck auf Win+R, um die Schadsoftware manuell auszuführen – in der Annahme, es handle sich um eine reguläre CAPTCHA-Prüfung.

Verteilte Infrastruktur und bekannte Bedrohungsakteure

Die Infrastruktur der Kampagne verteilt sich über zahlreiche Domains und IP-Adressen. So kommunizieren die Skripte etwa mit Endpunkten wie docusign.sa[.]com/verification/c.php oder mhousecreative[.]com, um weitere Schadmodule nachzuladen oder kompromittierte Seiten zu aktualisieren.

Auffällig ist die Ähnlichkeit der eingesetzten Techniken mit früheren Kampagnen der Gruppen SocGholish, FIN7 oder STORM-0408, die ebenfalls NetSupport RAT nutzten. Hinweise auf eine direkte Täterschaft gibt es zwar nicht, doch Gemeinsamkeiten bei Domain-Registrierungen, Payload-Strukturen und C2-Kommunikation legen Überschneidungen nahe.

Missbrauch des Gewohnten – eine raffinierte Strategie

Das Besondere an dieser Kampagne: Sie zielt nicht auf technische Schwachstellen, sondern auf das Vertrauen der Nutzer in alltägliche Online-Routinen. Durch die gezielte Imitation legitimer Dienste und die Umwandlung harmloser Prüfprozesse in Angriffskanäle wird die Selbstinfektion zum zentralen Element der Taktik.

Sicherheitsempfehlungen für Nutzer

Cybersicherheitsexperten warnen eindringlich vor der Ausführung unbekannter Skripte über die Windows-Ausführungskonsole. Seriöse Websites fordern Nutzer praktisch nie dazu auf, PowerShell-Kommandos manuell einzugeben. Zudem gilt:

• Misstrauen bei CAPTCHAs mit Skriptaufrufen: Kein echtes CAPTCHA erfordert die Ausführung von Code.

• URL- und SSL-Prüfung: Auch bei bekannten Marken gilt: Prüfen Sie stets Domain und Zertifikat.

• Skepsis gegenüber Zwischenablagen-Inhalten: Besonders bei Seiten, die Inhalte automatisch in die Zwischenablage legen.

Fazit

Die analysierte Kampagne zeigt, wie geschickt Angreifer alltägliche Online-Prozesse manipulieren, um Schadsoftware zu verbreiten. Der scheinbar einfache Trick der Selbstinfektion über CAPTCHAs verdeutlicht, wie wichtig Wachsamkeit und Benutzeraufklärung bleiben. In einer Zeit, in der Social Engineering immer raffinierter wird, sind Aufmerksamkeit und digitale Hygiene die besten Verteidigungsmaßnahmen.

Quelle: Community 

---