Sahte CAPTCHA dalgası, kullanıcıları Windows'ta PowerShell çalıştırmaya yönlendiriyor ve kripto hırsızı Lumma Stealer'ı tetikliyor. DNSFilter tarafından yapılan bir analize göre, 72 saat içinde 23 etkileşim kaydedildi ve ziyaretçilerin %17'si ekranda görüntülenen talimatları takip etti (DNSFilter). Hızlı sonuç: kripto cüzdanları boşaltıldı ve fonlar 3 dakikadan daha kısa sürede aklandı.
14-17 Ağustos 2025 tarihleri arasında engellenen sayfaları analiz eden olay müdahale ekipleri tarafından toplanan verilere göre, fonların ilk transferini önlemek için operasyonel pencere genellikle 180 saniyeden daha azdır. Sektör analistleri ayrıca ikna edici katmanlarla yapılan kampanyaların dönüşüm oranlarının %12 ile %20 arasında kaydedildiğini, bunun da DNSFilter tarafından tespit edilen %17 ile tutarlı olduğunu belirtmektedir.
Ana veriler: Komut yürütülmesi sırasında %17 "dönüşüm".
Taktik: bir anti-bot kontrolünü simüle eden ve PowerShell'in yürütülmesini yönlendiren doğrulama katmanı.
Etkisi: kimlik bilgileri, çerezler, 2FA ve cüzdan kripto paralarının çalınması ile neredeyse anlık paraya dönüştürme.
Yanlış CAPTCHA örneği: göz ardı edilmemesi gereken bir uyarı işareti, "manuel" doğrulama istemektedir.
Aldatmanın nasıl çalıştığı: sahte "Ben robot değilim" den bellek içi kötü amaçlı yazılıma
Sahte CAPTCHA'lar klasik "Ben robot değilim" ifadesini taklit ediyor, ancak erişimi doğrulamak yerine kullanıcıyı Windows+R tuşlarına basmaya ve bir komut yapıştırmaya yönlendiriyor. Bu, PowerShell yürütmesini başlatır ve Lumma Stealer ile bağlantılı bir DLL'yi belleğe indirip yükler, genellikle geleneksel antivirüs yazılımlarından kaçınmak için dosyasız bir teknik kullanır.
Kötü amaçlı yazılımlar, belleğe yüklenen yükleri gizlemek için AMSI (Antimalware Scan Interface) gibi çalışma zamanı kontrollerini devre dışı bırakabilir veya bunları atlayabilir. İlginç bir yön, toplama hızıdır: bir kez aktif hale geldiğinde, kötü amaçlı yazılım kaydedilmiş şifreleri, çerezleri, oturum belirteçlerini, 2FA kodlarını ve kripto para cüzdanı verilerini çıkarır.
DNSFilter tarafından gözlemlenen durum: meşru siteler üzerinde örtüşme
Uyarı, bir yönetilen sağlayıcının bir Avrupa bankacılık sitesinde bir doğrulama katmanı tespit etmesiyle tetiklendi: sahte bir DNS hatası görüntülüyordu ve "manuel doğrulama" talep ediyordu. Kullanıcı, PowerShell'i çalıştırması için yönlendirildi ve Lumma yükü indirildi ve çalıştırıldı. Üç gün içinde, 23 benzer sayfa engellendi; önerilen adımları takip eden kullanıcıların neredeyse 1'de 6'sının olduğu belirtilmelidir.
3 dakikada bir hırsızlık zaman çizelgesi
Giriş: kullanıcı meşru bir siteyi veya klonlanmış bir sayfayı ziyaret eder; bir DNS hatası ile sahte CAPTCHA görünür.
Sosyal mühendislik: sayfa, Windows+R ile bir önceden derlenmiş komutla erişimi "doğrulamaya" davet ediyor.
Yürütme: PowerShell, AMSI gibi kontrolleri devre dışı bırakır, bir Lumma Stealer DLL'si yükler ve bellek içinde kalır (fileless).
Veri Sızdırma: kötü amaçlı yazılım, tarayıcı kimlik bilgilerini, çerezleri, 2FA, anahtar kelime ve kripto cüzdan verilerini toplar.
Monetizasyon: anahtarlar DEX ve karıştırıcılarda fon transferi için kullanılır; aklama dakikalar içinde gerçekleşir.
Yayılma, varyantlar ve ilgili alanlar
Kampanya, engellerden kaçınmak için alan adlarını ve grafiklerini değiştiren dar bir aralıkta tekrar tekrar tespit edilmiştir. Tüm varyantlar dosyasız değildir: bazıları “doğrulayıcı” olarak kamufle edilmiş bir yürütülebilir indirme sunmaktadır. Bu bağlamda, benzer kampanyalarda gözlemlenen alan adları arasında human-verify-7u.pages.dev ve recaptcha-manual.shop bulunmaktadır.
Kriptonun toparlanmasının neden bu kadar zor olduğu
Hız, saldırının ana silahıdır. Bir kez çalındığında, fonlar DEX'e ve işlemleri parçalayan otomasyon araçlarına aktarılır. Bu nedenle, zincir üzerindeki analiz ekipleri, aklamanın birkaç dakika içinde gerçekleşebileceğini ve kurtarmanın son derece karmaşık hale geldiğini bildirmektedir.
Teknik göstergeler ( için SOC/IT)
Gözlemlenen Alanlar/URL'ler: human-verify-7u.pages.dev, recaptcha-manual.shop, “human-verify” ve “recaptcha-manual” alt alanlarındaki varyantlar.
Taktikler, Teknikler, Prosedürler (TTP): overlay aracılığıyla sosyal mühendislik; AMSI devre dışı bırakılarak PowerShell'in yürütülmesi; bellek içindeki DLL yüklemesi (fileless); tarayıcı ve cüzdandan kimlik bilgisi toplama.
Uç nokta anomali sinyalleri: explorer.exe/win+r tarafından başlatılan powershell.exe süreci; yürütme sonrası hemen ağ etkinliği; tarayıcı profil dizinlerine erişim.
Sayfa deseni: sahte DNS hatası + "manuel doğrulama" talebi Windows+R kombinasyonu ve "kopyala/yapıştır" ile.
Hukuki bildirim: IOC'ları sorumlu bir şekilde paylaşın; çalıştırılabilir komutları veya yükleri yaymaktan kaçının.
Hızlı Kılavuz: Anlık Savunma
Web sayfaları veya açılır pencereler tarafından önerilen komutları yapıştırmayın.
Şüpheli alan adları ve kötü amaçlı reklam kategorileri için DNS blokları ve içerik filtrelemesi ayarlayın.
Yönetici olmayan kullanıcılar için PowerShell betiklerinin yürütülmesini sınırlayın; mümkünse Kısıtlı Dil Modunu etkinleştirin.
Bellek içindeki işlemler için kurallarla AMSI ve EDR çözümlerini etkinleştirip izleyin.
Cüzdan kullanımını ana tarayıcıdan ayırın; donanım cüzdanlarını tercih edin.
Tarayıcıda parolayı kaydetmeyi devre dışı bırakın; MFA ile bir parola yöneticisi kullanın.
Kullanıcıları hassas sitelerdeki phishing ve sahte CAPTCHA örnekleriyle eğitin.
Şirketler için karşı tedbirler
Ağ segmentasyonu ve yeni kaydedilen alan adları ile “human-verify/recaptcha-manual” desenleri için proxy/DNS seviyesinde bloklar.
Yönetilen cihazlarda politika panosu; bir sitenin komutları kopyala/yapıştır etmesini sağladığında uyarı.
Süreç enjekte etme zincirlerinde ve anomalik powershell.exe yürütmelerinde tehdit avlama.
Acelesi olan yükseltme kılavuzu: ev sahibi izolasyonu, oturum iptali, kimlik bilgisi döngüsü, token ve çerezin geçersiz kılınması.
Hırsızlıktan sonra zararı sınırlamak
Hemen cihazı izole edin ve kritik hizmetlerdeki aktif oturumları iptal edin.
Seed ifadesini yenileyin ve fonları güvenli, bozulmamış cüzdanlara taşıyın.
Tarayıcıdan bağımsız uygulamalarda MFA'yı etkinleştir; çerez veya senkronize oturumlarla bağlantılı mekanizmalardan kaçın.
SSS
Sahte CAPTCHA nasıl tanınır?
Windows+R, komutların kopyalanıp yapıştırılması veya "doğrulayıcıların" indirilmesi istenen sayfalara dikkat edin. Şüphe durumunda, URL'yi kontrol edin ve sayfayı kapatın.
Her zaman dosyasız bir saldırı mı?
Hayır. Bazı varyantlar geleneksel bir çalıştırılabilir dosya indirirken; diğerleri disk üzerindeki izleri azaltmak için tamamen bellek içinde çalışır.
Hangi verileri çalmayı hedefliyorlar?
Tarayıcıların kimlik bilgileri, çerezler, 2FA, veri ve kripto cüzdan anahtarları.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Sahte CAPTCHAlar, kripto 3 dakikada kayboldu: Lumma Stealer'ın PowerShell hilesi 1 kişiyi kandırdı ...
Sahte CAPTCHA dalgası, kullanıcıları Windows'ta PowerShell çalıştırmaya yönlendiriyor ve kripto hırsızı Lumma Stealer'ı tetikliyor. DNSFilter tarafından yapılan bir analize göre, 72 saat içinde 23 etkileşim kaydedildi ve ziyaretçilerin %17'si ekranda görüntülenen talimatları takip etti (DNSFilter). Hızlı sonuç: kripto cüzdanları boşaltıldı ve fonlar 3 dakikadan daha kısa sürede aklandı.
14-17 Ağustos 2025 tarihleri arasında engellenen sayfaları analiz eden olay müdahale ekipleri tarafından toplanan verilere göre, fonların ilk transferini önlemek için operasyonel pencere genellikle 180 saniyeden daha azdır. Sektör analistleri ayrıca ikna edici katmanlarla yapılan kampanyaların dönüşüm oranlarının %12 ile %20 arasında kaydedildiğini, bunun da DNSFilter tarafından tespit edilen %17 ile tutarlı olduğunu belirtmektedir.
Ana veriler: Komut yürütülmesi sırasında %17 "dönüşüm".
Taktik: bir anti-bot kontrolünü simüle eden ve PowerShell'in yürütülmesini yönlendiren doğrulama katmanı.
Etkisi: kimlik bilgileri, çerezler, 2FA ve cüzdan kripto paralarının çalınması ile neredeyse anlık paraya dönüştürme.
Yanlış CAPTCHA örneği: göz ardı edilmemesi gereken bir uyarı işareti, "manuel" doğrulama istemektedir.
Aldatmanın nasıl çalıştığı: sahte "Ben robot değilim" den bellek içi kötü amaçlı yazılıma
Sahte CAPTCHA'lar klasik "Ben robot değilim" ifadesini taklit ediyor, ancak erişimi doğrulamak yerine kullanıcıyı Windows+R tuşlarına basmaya ve bir komut yapıştırmaya yönlendiriyor. Bu, PowerShell yürütmesini başlatır ve Lumma Stealer ile bağlantılı bir DLL'yi belleğe indirip yükler, genellikle geleneksel antivirüs yazılımlarından kaçınmak için dosyasız bir teknik kullanır.
Kötü amaçlı yazılımlar, belleğe yüklenen yükleri gizlemek için AMSI (Antimalware Scan Interface) gibi çalışma zamanı kontrollerini devre dışı bırakabilir veya bunları atlayabilir. İlginç bir yön, toplama hızıdır: bir kez aktif hale geldiğinde, kötü amaçlı yazılım kaydedilmiş şifreleri, çerezleri, oturum belirteçlerini, 2FA kodlarını ve kripto para cüzdanı verilerini çıkarır.
DNSFilter tarafından gözlemlenen durum: meşru siteler üzerinde örtüşme
Uyarı, bir yönetilen sağlayıcının bir Avrupa bankacılık sitesinde bir doğrulama katmanı tespit etmesiyle tetiklendi: sahte bir DNS hatası görüntülüyordu ve "manuel doğrulama" talep ediyordu. Kullanıcı, PowerShell'i çalıştırması için yönlendirildi ve Lumma yükü indirildi ve çalıştırıldı. Üç gün içinde, 23 benzer sayfa engellendi; önerilen adımları takip eden kullanıcıların neredeyse 1'de 6'sının olduğu belirtilmelidir.
3 dakikada bir hırsızlık zaman çizelgesi
Giriş: kullanıcı meşru bir siteyi veya klonlanmış bir sayfayı ziyaret eder; bir DNS hatası ile sahte CAPTCHA görünür.
Sosyal mühendislik: sayfa, Windows+R ile bir önceden derlenmiş komutla erişimi "doğrulamaya" davet ediyor.
Yürütme: PowerShell, AMSI gibi kontrolleri devre dışı bırakır, bir Lumma Stealer DLL'si yükler ve bellek içinde kalır (fileless).
Veri Sızdırma: kötü amaçlı yazılım, tarayıcı kimlik bilgilerini, çerezleri, 2FA, anahtar kelime ve kripto cüzdan verilerini toplar.
Monetizasyon: anahtarlar DEX ve karıştırıcılarda fon transferi için kullanılır; aklama dakikalar içinde gerçekleşir.
Yayılma, varyantlar ve ilgili alanlar
Kampanya, engellerden kaçınmak için alan adlarını ve grafiklerini değiştiren dar bir aralıkta tekrar tekrar tespit edilmiştir. Tüm varyantlar dosyasız değildir: bazıları “doğrulayıcı” olarak kamufle edilmiş bir yürütülebilir indirme sunmaktadır. Bu bağlamda, benzer kampanyalarda gözlemlenen alan adları arasında human-verify-7u.pages.dev ve recaptcha-manual.shop bulunmaktadır.
Kriptonun toparlanmasının neden bu kadar zor olduğu
Hız, saldırının ana silahıdır. Bir kez çalındığında, fonlar DEX'e ve işlemleri parçalayan otomasyon araçlarına aktarılır. Bu nedenle, zincir üzerindeki analiz ekipleri, aklamanın birkaç dakika içinde gerçekleşebileceğini ve kurtarmanın son derece karmaşık hale geldiğini bildirmektedir.
Teknik göstergeler ( için SOC/IT)
Gözlemlenen Alanlar/URL'ler: human-verify-7u.pages.dev, recaptcha-manual.shop, “human-verify” ve “recaptcha-manual” alt alanlarındaki varyantlar.
Taktikler, Teknikler, Prosedürler (TTP): overlay aracılığıyla sosyal mühendislik; AMSI devre dışı bırakılarak PowerShell'in yürütülmesi; bellek içindeki DLL yüklemesi (fileless); tarayıcı ve cüzdandan kimlik bilgisi toplama.
Uç nokta anomali sinyalleri: explorer.exe/win+r tarafından başlatılan powershell.exe süreci; yürütme sonrası hemen ağ etkinliği; tarayıcı profil dizinlerine erişim.
Sayfa deseni: sahte DNS hatası + "manuel doğrulama" talebi Windows+R kombinasyonu ve "kopyala/yapıştır" ile.
Hukuki bildirim: IOC'ları sorumlu bir şekilde paylaşın; çalıştırılabilir komutları veya yükleri yaymaktan kaçının.
Hızlı Kılavuz: Anlık Savunma
Web sayfaları veya açılır pencereler tarafından önerilen komutları yapıştırmayın.
Şüpheli alan adları ve kötü amaçlı reklam kategorileri için DNS blokları ve içerik filtrelemesi ayarlayın.
Yönetici olmayan kullanıcılar için PowerShell betiklerinin yürütülmesini sınırlayın; mümkünse Kısıtlı Dil Modunu etkinleştirin.
Bellek içindeki işlemler için kurallarla AMSI ve EDR çözümlerini etkinleştirip izleyin.
Cüzdan kullanımını ana tarayıcıdan ayırın; donanım cüzdanlarını tercih edin.
Tarayıcıda parolayı kaydetmeyi devre dışı bırakın; MFA ile bir parola yöneticisi kullanın.
Kullanıcıları hassas sitelerdeki phishing ve sahte CAPTCHA örnekleriyle eğitin.
Şirketler için karşı tedbirler
Ağ segmentasyonu ve yeni kaydedilen alan adları ile “human-verify/recaptcha-manual” desenleri için proxy/DNS seviyesinde bloklar.
Yönetilen cihazlarda politika panosu; bir sitenin komutları kopyala/yapıştır etmesini sağladığında uyarı.
Süreç enjekte etme zincirlerinde ve anomalik powershell.exe yürütmelerinde tehdit avlama.
Acelesi olan yükseltme kılavuzu: ev sahibi izolasyonu, oturum iptali, kimlik bilgisi döngüsü, token ve çerezin geçersiz kılınması.
Hırsızlıktan sonra zararı sınırlamak
Hemen cihazı izole edin ve kritik hizmetlerdeki aktif oturumları iptal edin.
Seed ifadesini yenileyin ve fonları güvenli, bozulmamış cüzdanlara taşıyın.
Tarayıcıdan bağımsız uygulamalarda MFA'yı etkinleştir; çerez veya senkronize oturumlarla bağlantılı mekanizmalardan kaçın.
SSS
Sahte CAPTCHA nasıl tanınır?
Windows+R, komutların kopyalanıp yapıştırılması veya "doğrulayıcıların" indirilmesi istenen sayfalara dikkat edin. Şüphe durumunda, URL'yi kontrol edin ve sayfayı kapatın.
Her zaman dosyasız bir saldırı mı?
Hayır. Bazı varyantlar geleneksel bir çalıştırılabilir dosya indirirken; diğerleri disk üzerindeki izleri azaltmak için tamamen bellek içinde çalışır.
Hangi verileri çalmayı hedefliyorlar?
Tarayıcıların kimlik bilgileri, çerezler, 2FA, veri ve kripto cüzdan anahtarları.
Kaynaklar ve içgörüler