Kõigepealt tuvastavad ründajad erinevaid haavatava või aegunud tarkvaraga veebilehti ning võtavad need üle. Seejärel riputavad nad ülevõetud veebilehe avalehele järgmise sisuga teate:
Teatest jääb mulje, et tegu on tavalise bot'i kontrolliga, kus kasutaja peab veebilehele pääsemiseks läbima mingi ülesande, tõestamaks, et ta on päris inimene, mitte robot. Kui legitiimsete bot'i kontrollide puhul tuleb tavaliselt veebilehele pääsemiseks märkida linnukesega mingid pildid või vajutada kastikesele, siis kurjategijate loodud võltsülesanne palub kasutajal arvutiklahvidel vajutada Windows + R, Ctrl + V ja siis Enter.
Mis tegelikult juhtub?
- Windows + R – vajutades avaneb kasutajal Windowsi „käivita“ (run) aken, mille kaudu saab nt käivitada süsteemikäske, rakendusi, kaustasid jms.
- Ctrl + V – sisestab aknasse kasutaja lõikelaua (clipboard) sisu, ehk sisestab selle, mida kasutaja varasemalt kopeerinud on. Käesoleva näite puhul on kasutaja clipboardi sisuks ründajate poolt edastatud pahaloomuline skript. Kasutaja ise ei pea käsitsi seda pahaloomulist skripti kopeerima, sest üldjuhul edastavad ründajad selle skripti kasutaja clipboardi ülevõetud veebilehe kaudu, kasutades clipboard manipulation tehnikat JavaScripti abil.
- Enter – Kui kasutaja avab Windows + R abil Windowsi käivitusakna, kleebib sinna oma lõikelaua sisu Ctrl + V abil (mis tegelikkuses on ründajate poolt edastatud pahaloomuline skript) ning vajutab enter, käivitab ta otse käsurea kaudu oma arvutis pahalaste ründeskripti.
Mida teeb pahaloomuline skript?
- Käivitab uue Powershell protsessi.
- Teeb Powershelli käsurea akna väiksemaks, et ohver seda ei märkaks.
- Lülitab välja Powershelli koodikäivitamise poliitika piirangud, mis paneb PowerShelli eirama tavapäraseid turvapiiranguid. Selle tulemusel saab käivituda pahaloomuline skript, mille süsteem muidu blokeeriks.
- Läheb ründajate poolt loodud veebilehele ning laeb ohvri arvutisse lisaks mitu uut ründeskripti.
- Käivitab äsja alla laetud ründeskriptid, mille tulemusel satub ohvri arvuti ründajate kontrolli alla. Edasisi eesmärke võib kurjategijatel olla erinevaid: varastada arvutist paroole, paigaldada sinna faile krüpteerivad pahavara või nuhkvara jms.
Kuidas teha vahet päris ja võlts-CAPTCHA-l?
Tavaline CAPTCHA palub esmalt kinnitada hiireklõpsuga, et kasutaja ei ole robot ning seejärel palub lahendada mingi ülesanne, nt märkida pildid, millel on kindel ese (nt foorid, bussid, jalgrattad, kassid vms). Vanemate CAPTCHA versioonide puhul võidakse paluda ka sisestada pildid olevaid tähti/numbreid.
Päris CAPTCHA kontroll ei palu sul midagi arvutis käsitsi käivitada ega klahvikombinatsiooni abil mingit programmi avada!
Rünnetes kasutatud võlts-CAPTCHA seevastu võib esmalt paluda kinnitada hiireklõpsuga, et kasutaja ei ole robot (see samm on sarnane päris CAPTCHA-le). Seejärel palub vajutada kindlat klahvikombinatsiooni (Windows+R, seejärel Ctrl + V), et midagi avada, sinna sisu kleepida ja vajutada Enter. Erinevalt päris CAPTCHAst, kus pildid muutuvad, jääb võlts-CAPTCHA ülesande sisu alati samaks, ka siis, kui te veebilehitsejat värskendate.
Juhul kui olete kokku puutunud veebilehega, kus lehele pääsemiseks selliseid juhiseid antakse või olete neid järginud, teavitage [email protected].
Loomise kuupäev: 03.03.2026
