Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer

Opisi virusa, 27.01.2026, 10:30 AM

Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami pokrenu infekciju i instaliraju malver Amatera Stealer.

Napad kombinuje socijalni inženjering sa zloupotrebom legitimnih Windows alata i pouzdanih internet servisa, omogućavajući da se malver neprimetno provuče pored standardnih bezbednosnih mehanizama i prikupi lozinke, podatke iz veb-pregledača i podatke o kreditnim karticama.

Umesto klasičnog „Ja nisam robot“ testa, žrtvi se prikazuje lažni CAPTCHA koji od korisnika traži da pritisne Windows taster + R, nalepi tekst iz clipboard-a i pritisne Enter.

Na prvi pogled, koraci deluju bezazleno ali korisnik na taj način pokreće zlonamernu komandu i sam započinje proces infekcije.

Istraživači Džek Patrik i Sem Deker navode da napadači u ovom koraku koriste legitimni Windows alat SyncAppvPublishingServer.vbs kako bi sakrili svoje tragove.

Ovaj alat spada u tzv. LOLBin kategoriju — legitimne sistemske komponente koje napadači koriste kao sredstvo napada. Pošto je skript potpisan i deo standardne Windows instalacije, mnogi antivirusni sistemi ga ne prepoznaju kao sumnjiv.

Ako detektuje da se izvršava u bezbednosnom sandbox okruženju ili ako korisnik nije tačno sledio instrukcije, skript jednostavno prestaje sa radom. Dodatno, proverava se sadržaj clipboard-a kako bi se potvrdilo da je komandu zaista uneo čovek, a ne automatizovani alat. Ako se odgovarajući marker ne pronađe, skript ulazi u stanje beskonačnog čekanja kako bi izbegao analizu.

Istraživači su otkrili da napad koristi infrastrukturu pouzdanih servisa. Instrukcije za napad preuzimaju se iz javnog Google Calendar (.ics) fajla, pa mrežni saobraćaj izgleda potpuno legitimno. Zlonamerni kod je sakriven u običnim PNG slikama koje se hostuju na javnim platformama poput Imgur-a.

Korišćenjem tehnike steganografije, napadači skrivaju izvršni kod u neprimetnim delovima piksel-podataka. Kao dodatni pokušaj zbunjivanja analitičara, skript koristi ključ za dešifrovanje pod nazivom AMSI_RESULT_NOT_DETECTED — termin koji inače označava da je fajl bezbedan.

Na kraju se isporučuje Amatera Stealer, malver dizajniran za krađu sačuvanih lozinki, podataka iz veb-pregledača i informacija o platnim karticama. Malver pokušava da prikrije mrežni saobraćaj pretvarajući se da se povezuje sa uobičajenim sajtovima poput microsoft.com ili facebook.com, čime dodatno otežava detekciju.

Napad funkcioniše samo na Windows 10, Windows 11 i Windows Server sistemima koji imaju omogućene App-V funkcije. Na Home izdanjima Windows-a ova tehnika najčešće ne uspeva.

Blackpoint Cyber upozorava da je najveći problem u tome što napadači koriste legitimne Windows alate, oslanjaju se na Google infrastrukturu i ne ostavljaju klasične tragove malvera.

Savet korisnicima je da nikada ne kopiraju i ne pokreću komande koje im sajtovi nude kao „popravku“, i da budu posebno sumnjičavi ako sajt traži da ručno unosite komande kako biste „dokazali da niste robot“ — u tom slučaju gotovo sigurno se radi o zamci.