Od druge polovice prošle godine slovenski Nacionalni centar za kibernetičku sigurnost SI-CERT detektira slučajeve zloupotrijebljenih web stranica koje od posjetitelja traže potvrdu da nisu roboti. U takvim slučajevima od korisnika se traži da pritisne određenu kombinaciju tipki, nakon čega se računalo zarazi virusom koji krade korisničke podatke.

U drugoj polovici 2024. godine počeli su se pojavljivati pojedinačni slučajevi mrežnih napada u kojima napadači nakon hakiranja web stranice instaliraju maliciozni kod koji od posjetitelje web stranice traži da u sklopu CAPTCHA provjere potvrde da nisu roboti. Broj ovih napada raste u 2025. godini, upozorio je ranije ovog tjedna SI-CERT.

U prvom koraku ova provjera može funkcionirati sasvim normalno, primjerice, zahtijevati od korisnika web stranice da označi slike na kojima se nalazi automobil.

U sljedećem koraku CAPTCHA obrazac javlja pogrešku i zahtijeva od korisnika da pritisne kombinacije tipkovnice Win + R, Ctrl + V i Enter. Kombinacija tipki Win + R u operativnim sustavima Windows otvara prozor za unos naredbi, kombinacija tipki CTRL + V lijepi sadržaj međuspremnika u polje za unos, a pritiskom na tipku Enter pokreće se unesena naredba, pojašnjava N1 Slovenija.

Budite oprezni s kombinacijama tipki

"Ako tijekom pretraživanja na internetu primijetite da neka web stranica od vas traži da unesete navedenu kombinaciju tipki na tipkovnici, nemojte to činiti", naglašavaju iz SI-CERT-a i poručuju da bi korisnici takve stranice trebali prijaviti.

Kombinacijom ovih tipki računalo se može zaraziti zlonamjernim kodom. Ovim procesom se može pokrenuti trojanski konj koji je specijaliziran za krađu osobnih, financijskih i autentifikacijskih podataka, kao što su lozinke spremljene u preglednicima i upraviteljima lozinki, povijest pregledavanja, spremljeni web kolačići, drugi spremljeni podaci web stranica, podaci otvorenih kartica.

Kako ističe SI-CERT, spomenuta kombinacija tipki uzrokuje infekciju samo na sustavima koji pokreću Windows operativne sustave.

Najčešće je to trojanski konj iz obitelji Lumma Stealer. "Lumma Stealer radi iznimno brzo i može poslati ukradene podatke iz sustava napadačima unutar nekoliko sekundi od pokretanja, a neke se varijante nakon ove aktivnosti čak potpuno brišu iz sustava", upozoravaju iz SI-CERT-a.

U slučaju da računalo bude zaraženo, SI-CERT preporučuje hitnu zamjenu svih lozinki i drugih vjerodajnica koje su bile pohranjene u preglednicima i instaliranim upraviteljima lozinkama u trenutku infekcije.

Ako su u sustavu bili pohranjeni kripto novčanici, SI-CERT preporučuje korisnicima da sredstva iz tih kripto novčanika odmah prebace u druge kripto novčanike kreirane na nezaraženom sustavu.

Virus Lumma Stealer može se potpuno izbrisati iz sustava nakon krađe podataka, no to nije pravilo. Stoga SI-CERT savjetuje da se uvijek kada je sustav zaražen napravi sigurnosna kopija podataka, a zatim se sustav vrati na tvorničke postavke.