Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
AI
Маркетинг
Сервисы
Личный опыт
Деньги
Инвестиции
Крипто
Путешествия
Что почитать
Право
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
ChatGPT в Телеграм

Поддельная CAPTCHA как новая киберугроза: как схема EtherHiding крадёт пароли через «я не робот»

Исследователи Censys описали новую схему веб-атак EtherHiding: злоумышленники прячут вредоносный код в смарт-контрактах Binance Smart Chain (testnet), а пользователю показывают привычное окно «докажите, что вы не робот». За этой «капчей» — многоступенчатая цепочка, которая в итоге превращает браузер жертвы в клиент к блокчейну и заставляет человека самому запустить вредоносную команду на своём устройстве.

Для бизнеса, разработчиков и ИБ это важный звоночек: классические схемы «поддельное обновление браузера» и SocGholish эволюционировали. Теперь инфраструктура атак уходит в Web3, а интерфейсом атаки становится обычная CAPTCHA.

Кратко: что произошло

  • Censys обнаружила серию атак EtherHiding, в которых поддельные CAPTCHA-страницы подменяют легитимные проверки «я не робот».
  • Малварь и конфигурация кампании хранятся в смарт-контрактах тестовой сети Binance Smart Chain: обновлять цепочку можно дешёвыми транзакциями, не трогая взломанный сайт.
  • Пользователь видит знакомое окно с логотипом reCAPTCHA и инструкцию «скопируйте текст и вставьте в Terminal / окно Run», после чего сам запускает вредонос — это тактика Click-Fix.
  • На macOS в итоге устанавливается стилер/бэкдор с постоянным каналом управления и кражей паролей; для Windows используется аналогичная логика с другими инструментами.

Как работает EtherHiding: схема по шагам

Шаг 1. Взлом сайта и внедрение минимального скрипта

Атакующим достаточно один раз внедрить небольшой фрагмент JavaScript на сайт (чаще всего на CMS вроде WordPress). Дальше:

  • этот код подгружает зашифрованные данные и библиотеки для работы с блокчейном;
  • всё дальнейшее управление цепочкой идёт через смарт-контракты, без повторного доступа к сайту.

Фактически сайт превращается в «витрину», а логика атаки живёт в блокчейне.

Шаг 2. Поддельная CAPTCHA поверх нормальной страницы

При заходе на скомпрометированный сайт пользователь видит:

  • полноэкранную «проверку», стилизованную под reCAPTCHA (логотип берут, например, с Wikimedia);
  • привычный текст «подтвердите, что вы человек» и понятные инструкции.

С точки зрения UX — обычная капча, которую мы кликаем на автомате десятки раз в день.

Шаг 3. Браузер общается со смарт-контрактами

В фоновом режиме скрипт:

  1. Расшифровывает скрытый код.
  2. Подключает библиотеки для работы с Binance Smart Chain.
  3. Запрашивает данные у целого набора смарт-контрактов в тестовой сети BSC.

Смарт-контракты поэтапно возвращают новые фрагменты сценария — «сценарий живёт на блокчейне», а браузер по сути выступает клиентом к Web3-инфраструктуре.

На раннем этапе код проверяет:

  • не работает ли он в песочнице / headless-браузере;
  • нет ли признаков анализа (антивирусные среды, исследовательские стенды).

Если что-то кажется подозрительным — цепочка обрывается.

Шаг 4. Персонализация под жертву и OS

Если проверка пройдена, начинается адаптация:

  • определяется ОС (Windows или macOS);
  • для каждой платформы используется свой набор смарт-контрактов и логики;
  • браузеру выдаётся уникальный ID, по которому смарт-контракты решают, отдавать ли дальнейшую нагрузку этому пользователю.

Это позволяет оператору кампании:

  • точечно включать/выключать заражение для отдельных жертв;
  • регулировать масштаб (например, не трогать определённые страны или IP-диапазоны);
  • «прикручивать» AB-тестирование нагрузок — всё через изменение данных в блокчейне, без правки кода на сайтах.

Шаг 5. Социальная инженерия: Click-Fix через фейковую CAPTCHA

Дальше включается социальная инженерия:

  • поверх страницы показывается большое окно капча Телеграм с инструкцией: «нажмите кнопку копирования, затем вставьте текст в Terminal (macOS) или в окно Run (Windows)»;
  • к этому моменту браузер уже подготовил вредоносную команду, которая и копируется в буфер обмена;
  • пользователь уверен, что он «просто завершает проверку», и сам запускает команду.

С точки зрения защитных систем это выглядит как добровольный запуск стандартных утилит самим пользователем — а не классический «drive-by download».

Шаг 6. Закрепление и кража данных

На macOS сценарий приводит к установке отдельного компонента, который:

  • закрепляется в системе (автозапуск и т.п.);
  • общается с управляющим сервером (C2);
  • крадёт данные и выполняет команды атакующего.

Ключевые моменты:

  • агент превращается в стилер: собирает конфигурацию системы, установленное ПО, железо, параметры дисплеев;
  • показывает поддельные системные диалоги macOS с просьбой «ввести пароль для изменения настроек» — и отправляет введённый пароль операторам;
  • мониторит, не поменялся ли пароль, и при необходимости повторяет трюк, чтобы обновить данные.

На Windows логика похожая, но используются нативные инструменты (PowerShell, mshta и др.), из-за чего события часто выглядят «нормально» с точки зрения защиты.

Шаг 7. Управление через Telegram и Steam

Отдельный трюк — выбор актуального управляющего домена:

  • агент обращается к заранее подготовленным страницам в Telegram и Steam;
  • считывает оттуда текст и на его основе формирует доменное имя C2;
  • проверяет ответ сервера и, если всё ок, закрепляет домен как активный.

Таким образом, операторам достаточно поменять текст в популярных сервисах — инфраструктуру управления можно обновлять без изменения самого вредоносного кода.

Почему блокчейн в этой схеме — не «маркетинговая фишка», а реально проблема

EtherHiding хорошо вписывается в тренд: авторы веб-малвари уходят от:

  • фиксированных серверов и доменов,
  • одноразовых цепочек редиректов,

в сторону децентрализованных платформ:

  • смарт-контракт — это и хранилище полезной нагрузки, и панель управления;
  • обновить цепочку атаки можно одной транзакцией;
  • инфраструктура атаки становится устойчивее к банальному «выключим сервер».

При этом атакующие выбирают именно тестовую сеть BSC — комиссии там копеечные, а для целей управления кампанией этого достаточно.

Масштаб: сколько таких фейковых CAPTCHA уже в сети

По данным Censys, только за месяц наблюдений:

  • ежедневно фиксировалось от 1400 до 1600 сайтов с фейковыми CAPTCHA разных кампаний (Click-Fix, ClearFake и др.);
  • в среднем — около 1500 ресурсов в день;
  • EtherHiding — лишь одна из заметных веток внутри этого массива.

То есть речь уже не о единичных инцидентах, а о массовой индустрии.

Чем это отличается от «классического» SocGholish и fake-update кампаний

Раньше мы видели похожие истории:

  • поддельные обновления браузера (fake update);
  • таргетинг на WordPress-сайты и drive-by инфекции;
  • схема SocGholish с постоянной сменой доменов и редиректов.

EtherHiding добавляет три важных элемента:

  1. Блокчейн как инфраструктура — управление и хранение полезной нагрузки уехали в Web3.
  2. Фейковая CAPTCHA вместо «обновить браузер» — мы привыкли подтверждать «я не робот» автоматически, сопротивления меньше.
  3. Click-Fix — пользователь сам запускает команду, поэтому многие поведенческие детекторы видят «нормальную активность».

Что это значит для бизнеса, разработчиков и ИБ

Для владельцев сайтов и продактов

  • Жёсткая гигиена CMS Обновления, минимизация плагинов, контроль доступа к админке — теперь речь не только о дефейсе, но и о возможной массовой раздаче малвари.
  • Мониторинг фронтенда Подозрительные скрипты, особенно: библиотеки для Web3 на сайтах, не связанных с криптой; большие зашифрованные блоки JavaScript; подменённые логотипы reCAPTCHA.
  • CSP и целостность скриптов Content-Security-Policy, Subresource Integrity, автоматические проверки отличий между эталонной версией фронта и боевой.

Для SOC / blue-team

Обратить внимание на поведение:

  • запуск Terminal / PowerShell / Run сразу после визита на сайт с «подозрительной CAPTCHA»;
  • выполнение команд из буфера обмена (clipboard → shell);
  • нетипичные обращения к Web3-узлам и тестовым сетям BSC из браузеров сотрудников;
  • нестандартные запросы к Telegram/Steam с последующим формированием доменных имён.

После таких инцидентов — принудительная смена паролей и включение MFA как обязательный шаг.

Для обычных пользователей и сотрудников

Здесь правило максимально приземлённое:

  • никакая нормальная CAPTCHA не просит вас открывать Terminal или окно Run и вставлять туда код.
  • если «защитная проверка» внезапно превращается в запуск консоли — это почти наверняка злоумышленники;
  • при малейшем подозрении: закрыть вкладку, не запускать ничего из буфера обмена, сменить пароли и включить 2FA на ключевых сервисах.

Вместо вывода

EtherHiding — показательный кейс: блокчейн уже используется не только для обнала и криптомошенничества, но и как управляемое, устойчивое хранилище для веб-малвари. Фейковые CAPTCHA, децентрализованная инфраструктура и Click-Fix делают кампанию сложнее для классических сигнатур и доменных блокировок, но не невидимой.

Для аудитории vc.ru основной смысл простой:

  • если вы делаете продукт, сайт, сервис — думайте про безопасность фронта и CMS как про часть продуктовой работы, а не «дело админов»;
  • если вы отвечаете за ИБ — добавляйте в модели угроз сценарии с Web3-инфраструктурой и fake CAPTCHA в браузере;
  • если вы «просто пользователь» — перестаньте автоматически доверять знакомому окну «я не робот»: теперь за ним вполне может стоять тот, кто точно не робот, но очень хочет забрать ваши пароли.
Начать дискуссию