假CAPTCHA，3分鍾內加密貨幣消失：Lumma Stealer的PowerShell技巧欺騙了1...

一波假驗證碼正在導致用戶在Windows上執行PowerShell，觸發了加密竊賊Lumma Stealer。根據DNSFilter的分析，在72小時內記錄了23次交互，17%的訪客關注了屏幕上顯示的指示(DNSFilter)。立即結果：加密錢包被清空，資金在不到3分鍾內被洗錢。

根據事件響應團隊在2025年8月14日至17日分析被阻止頁面所收集的數據，防止首次資金轉移的操作窗口通常少於180秒。行業分析師還指出，具有說服性覆蓋的活動的轉化率在12%到20%之間，這與DNSFilter檢測到的17%一致。

關鍵數據：執行命令時“轉換”的17%。

戰術：驗證覆蓋層，模擬反機器人檢查並指導PowerShell的執行。

影響：憑證、Cookie、雙因素認證和錢包加密貨幣被竊取，幾乎可以立即變現。

一個虛假的驗證碼示例，提示進行“手動”驗證：一個不容忽視的警告標志。

欺騙是如何工作的：從假冒的“我不是機器人”到內存惡意軟件

虛假的驗證碼模仿經典的“我不是機器人”，但不是用於驗證訪問，而是提示用戶按下Windows+R並粘貼一個命令。這將啓動一個PowerShell執行，下載並加載一個與Lumma Stealer相關聯的DLL，通常使用無文件技術來規避傳統的殺毒軟件。

惡意軟件可以禁用或繞過運行時控制，如AMSI (反惡意軟件掃描接口)，以隱藏加載在內存中的有效負載。一個有趣的方面是收集的速度：一旦激活，惡意軟件提取保存的密碼、cookies、會話令牌、雙因素認證代碼和加密貨幣錢包數據。

DNSFilter觀察到的案例：在合法網站上的覆蓋

當一個管理服務提供商在一個歐洲銀行網站上檢測到一個驗證覆蓋時，警報被觸發：它顯示了一個假DNS錯誤並要求進行“手動驗證”。然後用戶被引導執行PowerShell，啓動Lumma有效載荷的下載和執行。在三天內，阻止了23個類似的頁面；值得注意的是，幾乎6個用戶中就有1個關注了所提出的步驟。

3分鍾內的盜竊時間線

入口：用戶訪問一個合法網站或一個複製頁面；出現帶有DNS錯誤的虛假驗證碼。

社交工程：該頁面邀請使用Windows+R和預編譯命令來“驗證”訪問。

執行：PowerShell 禁用 AMSI 等控件，加載 Lumma Stealer DLL，並保留在內存中(fileless)。

數據泄露：惡意軟件收集瀏覽器憑據、Cookies、雙因素認證、種子和加密錢包數據。

貨幣化：密鑰用於在去中心化交易所和混合器上轉移資金；洗錢在幾分鍾內發生。

傳播、變體和相關領域

該活動在狹窄範圍內被反復檢測到，網頁更換域名和圖形以規避封鎖。並非所有變體都是無文件的：一些變體提供僞裝成“驗證器”的可執行下載。在這種情況下，在類似活動中觀察到的一些域名包括 human-verify-7u.pages.dev 和 recaptcha-manual.shop。

爲什麼加密貨幣的復蘇如此困難

速度是攻擊的主要武器。一旦被盜，資金會被轉移到去中心化交易所(DEX)和自動化工具，這些工具會將交易進行碎片化。因此，鏈上分析團隊報告稱，洗錢可能在幾分鍾內發生，使得恢復變得極爲復雜。

技術指標 (針對 SOC/IT)

觀察到的域/URL：human-verify-7u.pages.dev、recaptcha-manual.shop、“human-verify”和“recaptcha-manual”子域的變體。

戰術、技術、程序 (TTP)：通過覆蓋進行社會工程；執行PowerShell並禁用AMSI；內存中的DLL加載 (無文件)；從瀏覽器和錢包收集憑據。

端點異常信號：由explorer.exe/win+r啓動的powershell.exe進程；執行後立即進行網路活動；訪問瀏覽器配置文件目錄。

頁面模式：假 DNS 錯誤 + 使用 Windows+R 組合和“復制/粘貼”的“手動驗證”請求。

法律聲明：負責任地共享IOC；避免傳播可執行命令或有效載荷。

快速指南：即時防御

請勿粘貼網頁或彈出窗口建議的命令。

爲可疑域名和惡意廣告類別設置DNS阻止和內容過濾。

限制非管理員用戶執行PowerShell腳本；在可能的情況下啓用受限語言模式。

啓用並監控AMSI和EDR解決方案，針對內存中的進程設置規則。

將錢包的使用與主瀏覽器分開；優先使用硬體錢包。

在瀏覽器中禁用密碼保存；使用帶有多因素身份驗證(MFA)的密碼管理器。

用真實的釣魚和假驗證碼示例培訓用戶，尤其是在敏感網站上。

企業的對策

網路分段和代理/DNS層的區塊，用於新註冊域名和“人工驗證/recaptcha-手動”模式。

在受管理設備上實施策略剪貼板；當網站誘導復制/粘貼命令時發出警報。

針對進程注入鏈和powershell.exe異常執行進行威脅狩獵。

立即升級應對方案：主機隔離、會話撤銷、憑證輪換、令牌和 cookie 無效化。

限制盜竊後的損害

立即隔離設備，並撤銷關鍵服務上的活動會話。

重新生成種子短語並將資金轉移到安全且未被破壞的錢包中。

在應用程序中啓用多因素身份驗證，獨立於瀏覽器；避免與 cookie 或同步會話相關的機制。

常見問題

如何識別假冒的驗證碼？

警惕那些要求使用Windows+R、復制/粘貼命令或下載“驗證器”的頁面。如有疑問，請檢查URL並關閉該頁面。

這總是無文件攻擊嗎？

不。有些變體下載傳統的可執行文件；其他則完全在內存中運行，以減少磁盤上的痕跡。

他們想盜取哪些數據？

瀏覽器的憑證、 cookies、雙因素認證(2FA)、數據和加密錢包的密鑰。

來源和見解