Hacker nutzen CAPTCHA als Angriffsvektor

In diesem Beitrag wird dargelegt, wie Cyberkriminelle mithilfe bösartiger CAPTCHAs sogenannte Infostealer auf den Zielgeräten installieren und sensible Daten wie E-Mails, Passwörter, Adressen und Finanzinformationen sammeln. Er beleuchtet verschiedene Angriffsmethoden wie Watering-Hole-Angriffe, Anzeigenmissbrauch und SEO-Poisoning und gibt Ihnen praktische Tipps, wie Sie sich vor dieser raffinierten Betrugsmasche schützen können.


Bösartige CAPTCHAs kommen in einer Vielzahl von Malware-Kampagnen zum Einsatz, die in der Regel auf bestimmte Bevölkerungsgruppen abzielen. So gelangen beispielsweise PDF-Dateien, die angeblich Anleitungen für die Anwendung oder Installation von Cheats in Videospielen enthalten, durch SEO- oder Algorithmus-Poisoning gezielt an die Gamer-Community. Anhand dieser Technik kann sich die Schadsoftware über Google und andere Suchmaschinen, Beschreibungen von YouTube-Videos und TikTok-Überschriften sowie über Online-PDF-Bibliotheken weiterverbreiten. Solche CAPTCHAs tauchen auch auf echten, rechtmässigen Websites auf, nachdem diese von bösartigen Akteuren in einem sogenannten Watering-Hole-Angriff kompromittiert wurden.


Wie der Angriff funktioniert
Dieser Angriffsvektor kann beim arglosen Surfen im Internet überall lauern: durch eingebettete Werbung, manipulierte Suchergebnisse, soziale Medien, Watering-Hole-Angriffe und Phishing-Versuche. Durch SEO-Poisoning können Internetnutzer über Suchmaschinen wie Google, Bing und Yahoo zur Zielscheibe werden. Suchmaschinen zeigen als Ergebnis möglicherweise eine PDF-Datei an, die auf rechtmässigen Websites wie WebFlow oder in indizierten PDF-Bibliotheken gehostet wird. In anderen Fällen werden Websites unterwandert und dieses bösartige CAPTCHA in verschiedenen Watering-Hole-Angriffen angezeigt, wobei die zu lösende Aufgabe den normalen Inhalt überlagert.

 

Was ist ein CAPTCHA?
Gemäss Definition der Carnegie Mellon University ist ein CAPTCHA (kurz für «Completely Automated Public Turing Test To Tell Computers and Humans Apart») eine Art Eingabeformular mit kleinen Aufgaben, das in der Informatik verwendet wird, um den Zugriff von Mensch und Maschine zu differenzieren und Bot-Attacken und Spam abzuwehren.

Das abgebildete CAPTCHA ähnelt optisch denen, die uns auf vielen anderen Websites begegnen, es birgt jedoch ein paar Aufforderungen, die die Nutzer durchaus unvorbereitet treffen könnten. Zunächst wird ein Kontrollkästchen angezeigt, das aktiviert werden soll, um den Verifizierungsprozess fortzusetzen. Dies ist gängige Praxis und wird noch keinen Verdacht erregen. Sobald das Kreuzchen jedoch gesetzt ist, folgen weitere Aufforderungen, die für die Prüfung, ob ein Mensch oder ein Roboter die Seite bedient, untypisch sind.

 



Abbildung 1: Beispiel für ein CAPTCHA auf einer Website, die bei einem Watering-Hole-Angriff infiziert wurde, übernommen von der University of Michigan und visuell bearbeitet.

Bei vielen unserer Leserinnen und Leser läuten beim Anblick dieser Anweisungen wohl sofort die Alarmglocken, da sie eine solche CAPTCHA-Abfrage als absolut unüblich und gefährlich erkennen. Dennoch werden durch diese Technik mit Erfolg unzählige Geräte infiziert. Reagiert man auf die Benutzeroberfläche des CAPTCHA-Fensters, wird eine Zeichenfolge in die Zwischenablage kopiert, wo bereits ein heimtückischer PowerShell-Befehl wartet. PowerShell ist eine leistungsfähige Skriptsprache, die hauptsächlich unter Windows verwendet wird, aber auch unter MacOS und Linux ausgeführt werden kann. Der Befehl ist eine in die Zwischenablage kopierte Textzeichenfolge. Wird er ausgeführt, so wird das Gerät des Benutzers angewiesen, Nutzdaten von einem entfernten Host herunterzuladen. Die Nutzdaten werden den Angaben zufolge in Form eines bösartigen PNG-Bildes übermittelt. Bilddateiformate werden von Antivirenprogrammen nämlich in der Regel nicht auf bösartige Codes untersucht, Malware lässt sich auf diese Weise also ganz einfach verschleiern. Dies gilt auch für andere Bild-, Audio- und Videoformate.

 



Abbildung 2: Beispiel für die Oberfläche des Ausführen-Fensters, das mit Win + R geöffnet wird und in dem PowerShell und andere Skriptsprachen verwendet werden können.


Die Oberfläche des Ausführen-Fensters, das auf Windows-Geräten mit der Tastenkombination Win + R geöffnet wird, enthält ein kleines Feld zur Texteingabe. Da nur das Ende der Zeichenfolge angezeigt wird und der übrige Inhalt im Verborgenen bleibt, wird die Zwischenablage oft leichtfertig in das Textfeld eingefügt. Die Zeichenfolge endet dabei häufig mit einem harmlos anmutenden Satz wie «Ich bin kein Roboter», der als Kommentar formatiert ist, damit der übrige Code nicht ungültig wird. Links davon befindet sich jedoch, für den Benutzer zunächst nicht sichtbar, ein Befehl zum Herunterladen und Ausführen von Malware von einem Remote-Host.

 



Abbildung 3: Beispiel für eine bösartige Zeichenfolge, die nach der Ausführung im Ausführen-Fenster in die Zwischenablage kopiert wird und Malware herunterlädt. In diesem Fall lädt das Skript eine Kopie des Lumma Stealer herunter, die im Audiodateiformat .m4a formatiert ist, wobei der eigentliche Code dieser Datei jedoch nicht als Audiodatei fungiert und stattdessen dazu verwendet wird, weiteren bösartigen Code auf dem Gerät des Geschädigten auszuführen. Screenshot aus den Netskope Threat Labs (angefertigt am 06.03.2025).

Berichten zufolge gibt es ähnliche Techniken, bei denen das CAPTCHA in PDF-Dateien eingebunden ist, die aus dem Internet heruntergeladen werden, z. B. über Google oder über PDF-Bibliotheken. Diese PDF-Dateien wurden auch per E-Mail verschickt, wobei PC-Nutzer einer CAPTCHA-Abfrage nicht so leicht vertrauen, wenn sie in einer lokalen Datei angezeigt wird. Moderne Browser, bei denen die Benutzer eine CAPTCHA-Abfrage viel eher erwarten, können PDF-Dateien nach dem Herunterladen nahtlos anzeigen, und viele PDF-Bibliotheken verfügen über eine integrierte Anzeigeoberfläche. CAPTCHAs, die innerhalb des Browser-Fensters angezeigt werden, verleiten den Endbenutzer viel eher dazu, den Anweisungen zu folgen.

Die Folgen sind je nach Art der installierten Schadsoftware sehr unterschiedlich. Geschädigte berichten, dass sie Warnungen erhalten, nachdem ihr Computer automatisch einige Netzwerkverbindungen blockiert hat, und dass ihr Browser automatisch auf inoffizielle Versionen zurückgesetzt wird, die mit der installierten Malware kompatibel sind.

Die „Beute“ dieser Diebe umfasst vollständige Berichte über die Cookie-Sitzungen des Opfers, gespeicherte Benutzernamen, E-Mails, Passwörter, Adress- und Finanzdaten sowie den Zugriff auf Browser-Plugin-basierte Krypto-Wallets.


Wie Sie sich schützen können
Auch wenn diese Art von Angriffen vermeidbar erscheint, so ist doch kein Mensch vor Fehlern gefeit. Sie sind vielleicht müde, unkonzentriert oder ganz einfach nicht darauf gefasst, dass gerade jetzt ein Virus zuschlägt. Dennoch kann jeder von uns einem solchen Angriff zum Opfer fallen, so durchschaubar er auch erscheinen mag. Im Folgenden finden Sie ein paar wichtige Hinweise, wie Sie sich vor einem CAPTCHA-Angriff schützen können.

  • Echte CAPTCHAs werden Sie niemals auffordern, aus irgendeinem Grund das Ausführen-Fenster aufzurufen.
  • Begegnet Ihnen auf einer Website oder in einer Anwendung eine unerwartete CAPTCHA-Abfrage, sollten Sie genau hinschauen. Auch seriöse Websites sind nicht vor dem Missbrauch durch Hacker gefeit.
  • Zur Verwaltung und zum Schutz Ihrer Passwörter sollten Sie einen sicheren Passwort-Manager verwenden und die mehrstufige Authentifizierung (MFA) aktivieren.
  • Achten Sie auf gute Cyberhygiene und seien Sie beim Surfen im Internet wachsam.


«Ich habe im Ausführen-Fenster einen Befehl ausgeführt, und nun wurde mein Computer gehackt. Was soll ich tun?»
Bleiben Sie ruhig und führen Sie die üblichen Massnahmen in der Reihenfolge ihrer Priorität durch. Wenn Sie glauben, dass auf Ihre Finanzdaten zugegriffen wurde, lassen Sie Ihre Karten und Ihr Online-Banking sperren. Ihre Online-Konten könnten ebenfalls betroffen sein, also denken Sie daran, dass Ihre Online-Aktivitäten möglicherweise unter Überwachung stehen. Versuchen Sie daher vor allem bei Bank- und E-Mail-Konten, Ihre Passwörter möglichst auf einem anderen Gerät zu ändern.

Wenn Sie feststellen, dass Ihre Konten gestohlen und die Anmeldedaten geändert wurden, wenden Sie sich unbedingt an das Support-Team der betreffenden Website oder Anwendung, um die notwendigen Schritte zu veranlassen.


Sie können die Sicherheit Ihres Computers gewährleisten, indem Sie wichtige Dateien entweder über die Cloud oder ein physisches Laufwerk sichern und eine saubere Instanz Ihres Betriebssystems installieren. Achten Sie darauf, dass alle von Ihnen gesicherten Dateien gescannt werden, damit die Schadsoftware nicht in weitere Dateien auf Ihrem Gerät eingebunden wird. Beachten Sie, dass neue Betriebssystempartitionen durch alte, auf dem Gerät verbleibende Partitionen neu infiziert werden können.


Fazit
CAPTCHA-Angriffe verdanken Ihren Erfolg der Tatsache, dass viele Internetnutzer nur unzureichend über die heutige Bedrohungslandschaft informiert sind und meist menschliches Versagen zugrunde liegt. Wir hoffen, dass unser Beitrag Licht in diesen neuen Angriffsvektor gebracht hat und dass das vermittelte Wissen Ihnen hilft, sich in Zukunft vor derartigen Bedrohungen zu schützen. Wir möchten jedoch nochmals betonen, wie wichtig Ihre eigene Wachsamkeit ist. Ob es sich nun um CAPTCHA oder eine andere Technologie handelt, aus Gewohnheit wird man leicht nachlässig und vergisst die üblichen Sicherheits- und Legitimitätsprüfungen. Genau darin liegt der Grund, warum solche simplen Maschen weiterhin Erfolg haben. Widerstehen Sie also dem Drang, Ihre Wachsamkeit über Bord zu werfen, selbst wenn es sich nur um Kleinigkeiten wie eine CAPTCHA-Abfrage handelt. Befolgen Sie die bewährten Praktiken und bleiben Sie informiert – der Sicherheit Ihres Geräts und Ihrer Daten zuliebe.

Sie wollen zusätzlichen Schutz? Entscheiden Sie sich für Sicurnet, das Ihre Daten überwacht, Sie warnt, wenn sie von Cyberkriminellen kompromittiert werden (sogar im Dark Web), und bei Bedarf Hilfe leistet!


Die Inhalte dieses Beitrags dienen lediglich zu Informationszwecken und stellen keine professionelle Beratung dar. Ihre Richtigkeit, Vollständigkeit, Belastbarkeit, Aktualität und Fehlerfreiheit werden nicht garantiert.