Переглядаючи цей сайт, ви погоджуєтесь з нашою політикою конфіденційності
Прийняти
  • Про нас
  • Політика конфіденційності
  • Контакти
CyberCalm
  • Кібербезпека
    КібербезпекаПоказати ще
    Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери
    Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери
    6 секунд тому
    CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple
    CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple
    1 день тому
    099af8b0d22bfb41bcd08068483f1c7a190e201ba1621665cf4df79b515b9a64
    Автономні ШІ-червʼяки відкривають нову еру адаптивних кібератак
    2 дні тому
    Ніколи не дозволяйте ШІ-чатботу придумувати вам пароль. Ось чому
    Ніколи не дозволяйте ШІ-чатботу придумувати вам пароль. Ось чому
    2 дні тому
    Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
    Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
    4 дні тому
  • Гайди та поради
    Гайди та поради
    Корисні поради, які допоможуть вам почуватися безпечно в мережі, а також маленькі хитрощі у користуванні вашими гаджетами.
    Показати ще
    Топ-новини
    Як перенести Telegram на інший телефон
    Як перенести Telegram на інший телефон. ІНСТРУКЦІЯ
    1 рік тому
    Як заблокувати сайт на компʼютері з Windows
    Як заблокувати сайт на компʼютері з Windows: 5 способів
    3 тижні тому
    Як отримувати та відправляти SMS повідомлення з комп'ютера?
    Як отримувати та відправляти SMS повідомлення з комп’ютера? – ІНСТРУКЦІЯ
    1 рік тому
    Останні новини
    Як відновити пошкоджену флешку: інструкція
    20 години тому
    Як створити підпис для PDF-документів на ПК: інструкція
    3 дні тому
    Найкращі блокувальники реклами для Android у 2026 році
    5 днів тому
    Вхід без пароля: як налаштувати біометричну автентифікацію Windows Hello
    6 днів тому
  • Статті
    Статті
    Цікаві статті про світ технологій, інтернет та кіберзахист. Розбираємо складні теми, від штучного інтелекту до безпеки даних та Big Data. Аналітика для допитливих та професіоналів.
    Показати ще
    Топ-новини
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    Для яких завдань потрібен VDS сервер: реальні приклади та особистий досвід
    8 місяців тому
    Які послуги входять в обслуговування орендованого сервера
    Які послуги входять в обслуговування орендованого сервера
    8 місяців тому
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    VPS-хостинг: від «просто працює» до «літає» — тактичний посібник
    3 місяці тому
    Останні новини
    «Я більше не програміст»: Лінус Торвальдс про два єдині інструменти, якими користується
    3 години тому
    США та 12 країн-союзниць попереджають про російські кібератаки на критичну інфраструктуру
    3 дні тому
    ЄС і Велика Британія запровадили санкції проти російських військових хакерів за кібератаки
    4 дні тому
    Як побудувати захищений електронний документообіг у компанії: від КЕП до FIDO2
    4 дні тому
  • Огляди
    ОглядиПоказати ще
    5 причин, чому електронна пошта ніколи не помре
    5 причин, чому електронна пошта ніколи не помре
    1 день тому
    Який ноутбук купити: Windows чи macOS? 10 речей, які варто врахувати
    Який ноутбук купити: Windows чи macOS? 10 речей, які варто врахувати
    5 днів тому
    google maps e1783414031259
    7 функцій Google Maps, які варто використовувати у 2026 році
    1 тиждень тому
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    Proton випустила Lumo 2.0: приватний ШІ-асистент отримав генерацію зображень і режим міркування
    2 тижні тому
    10c46d336be797cecad10a202f8a0d5ed8bbd3afa07bb09b0e5653b174a3573c
    Google Maps проти Apple Maps у 2026 році: який застосунок кращий
    2 тижні тому
  • Техногіганти
    • Google
    • Apple
    • Microsoft
    • Meta
    • OpenAI
    • Anthropic
    • xAI
    • Samsung
  • Теми
    • Комп’ютери
    • Смартфони
    • Електронна пошта
    • Windows
    • Linux
    • Android
    • iPhone
    • VPN
    • Штучний інтелект
    • Робототехніка
Соцмережі
  • Facebook
  • Instagram
  • YouTube
  • TikTok
  • X (Twitter)
  • Threads
Спеціальні теми
  • Кібервійна
  • Маніпуляції в медіа
  • Дезінформація
  • Безпека дітей в Інтернеті
  • Розумний будинок
Інше
  • Сканер безпеки сайту
  • Архів
Читання: Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери
Розмір шрифтаAa
CyberCalmCyberCalm
Пошук
  • Техногіганти
    • Комп’ютери
    • Смартфони
    • Соцмережі
    • Google
    • Android
    • Apple
    • Windows
    • Linux
    • Штучний інтелект
    • Безпека дітей в інтернеті
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Сканер безпеки сайту
  • Архів
Follow US
  • Про проєкт Cybercalm
  • Політика конфіденційності
  • Контакти
© 2025 Cybercalm. All Rights Reserved.
Головна / Кібербезпека / Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери

Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери

Кібербезпека
6 секунд тому
Поширити
5 хв. читання
Sandworm застосовує фейкові CAPTCHA проти українців: жертв змушують самостійно інфікувати компʼютери

Хакери російської воєнної розвідки почали використовувати підроблені перевірки CAPTCHA на скомпрометованих вебсайтах, аби змусити українських користувачів власноруч інфікувати свої компʼютери. Про зміну тактики угруповання Sandworm повідомила урядова команда реагування на компʼютерні надзвичайні події CERT-UA.

Зміст
  • Ланцюжок зараження: від фейкової CAPTCHA до бекдорів
  • Керуючі сервери — у блокчейні
  • Окрема загроза для Android
  • Старі методи не зникли
  • Роки атак проти України

У звіті, оприлюдненому цього тижня, команда зазначила, що протягом весни та літа 2026 року помітила зміни в тому, як повʼязане з кремлем угруповання отримує початковий доступ до систем українських цілей.

За даними CERT-UA, зловмисники дедалі частіше застосовують різновид методу соціальної інженерії, відомий як ClickFix. Жертву спрямовують на скомпрометований сайт, де за певних умов відображається фальшива перевірка CAPTCHA, нібито призначена відрізнити людину від бота.

Замість підтвердження, що користувач — людина, йому пропонують скопіювати та виконати в терміналі PowerShell команду. Вона завантажує та зберігає в каталозі автозапуску Startup VBS-файл, який забезпечує подальше зараження; один із варіантів такої програми отримав назву GHETTOVIBE.

- Advertisement -

Ланцюжок зараження: від фейкової CAPTCHA до бекдорів

Після закріплення на компʼютері зловмисники можуть довантажити інструмент розвідки SCOUTCURL — PowerShell-сценарій, що збирає й викрадає базову інформацію про пристрій: характеристики системи, встановлені програми, файли та дані браузерів. Це допомагає атакувальникам оцінити, чи варта ціль подальшої компрометації.

Серед завантажувачів шкідливого ПЗ CERT-UA відзначає FLUIDLEECH, замаскований під програму для видалення «вірусів», і LOADLOOP. На окремих інфікованих машинах, де проводилися заходи реагування, також виявили FREAKYPOLL — бекдор, написаний мовою Python і поширюваний у вигляді скомпільованого байткоду (файли з розширенням «.pyc»).

Керуючі сервери — у блокчейні

Упродовж червня та липня CERT-UA детально проаналізувала реалізацію ClickFix більш ніж на десяти скомпрометованих вебресурсах. Окрім сервісу приховування трафіку Cloaking.House, який за певних умов підміняє вміст сторінки для відвідувача, зловмисники застосовували власний код SMARTAXE.

Особливість SMARTAXE у тому, що він отримує доменне імʼя керуючого сервера динамічно — зі смартконтракту в блокчейні, через виклик «eth_call» за заданими у коді адресою контракту та селектором функції. Такий спосіб приховування інфраструктури відомий як EtherHiding: оскільки смартконтракт незмінний і не має традиційного сервера чи домену, захисникам складно заблокувати або вилучити його, а самі запити важко відрізнити від легітимної активності в блокчейні. Кількість заражених пристроїв команда не назвала.

Окрема загроза для Android

CERT-UA окремо наголошує на шкідливому ПЗ для Android, яке під час спілкування в месенджері надсилають у вигляді APK-файлу, замаскованого під засіб захисту. Цей бекдор, кодифікований як COWARDDUCK, є повноцінним інструментом стеження: він приховано збирає та викрадає технічні характеристики пристрою, контакти, файли (зокрема з каталогів DCIM, Documents, Downloads та Pictures) і геопозицію в реальному часі.

Щоб не привертати уваги, для вивантаження файлів COWARDDUCK використовує API сервісу Dropbox, а команди й дані отримує з обʼєктів на легітимних ресурсах — наприклад, із зображень у Steam, — а звʼязок маршрутизує через проксі DuckDuckGo.

Старі методи не зникли

Попри перехід до атак через ClickFix, угруповання продовжує покладатися й на звичні прийоми. Роками одним із головних був вектор «пасивної» компрометації: поширення інсталяторів Microsoft Windows та Office із вбудованим бекдором через торент-трекери, що дозволяло непомітно заражати тих, хто завантажував піратське ПЗ.

За даними CERT-UA, щонайменше в одному випадку такий заражений компʼютер забезпечив присутність і горизонтальне переміщення в мережі організації, що створило умови для руйнівної кібератаки проти інфраструктури центрального органу виконавчої влади України.

- Advertisement -

Ще один прийом, до якого угруповання вдавалося протягом російської війни проти України, — атаки на користувачів месенджера Signal, надто на військовослужбовців, яких переконували встановити фальшивий «антивірусний захист». Запуску файлу нерідко передувала тривала комунікація, під час якої зловмисники навіть пропонували грошову винагороду за виконання інструкцій.

Для віддаленого доступу атакувальники традиційно використовували легітимні OpenSSH і Tor, перенаправляючи локальні мережеві порти (зокрема 445, 3389 і 22) на підконтрольний сервер, а також власні інструменти KALAMBUR, SUMBUR і TAMBUR. Фіксувалося й викрадення ключів і даних месенджерів Signal та WhatsApp.

Роки атак проти України

CERT-UA відстежує цю активність як кластер UAC-0145 (субкластер UAC-0002); ширше угруповання відоме як Sandworm, APT44 і Seashell Blizzard. Західні уряди та дослідники кібербезпеки повʼязують його з головним управлінням російської воєнної розвідки (ГРУ). Sandworm діє щонайменше з 2013 року й відповідальне за деякі з найгучніших руйнівних кібератак росії, зокрема удари по енергосистемі України.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

Перевірте свою поштову скриньку або папку зі спамом, щоб підтвердити підписку.

ТЕМИ:CERT-UAClickFixSandwormкібератакиКомп'ютериросійські хакеришкідливе ПЗ
Поділитися
Facebook Threads Копіювати посилання Друк
Що думаєте?
В захваті0
Сумно0
Смішно0
Палає0
Овва!0
Попередня стаття Як відновити пошкоджену флешку: покрокова інструкція Як відновити пошкоджену флешку: інструкція

В тренді

CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple
CrashStealer: новий інфостілер для macOS маскується під системний засіб звітування Apple
1 день тому
Як побудувати захищений електронний документообіг у компанії: від КЕП до FIDO2
Як побудувати захищений електронний документообіг у компанії: від КЕП до FIDO2
4 дні тому
5 причин, чому електронна пошта ніколи не помре
5 причин, чому електронна пошта ніколи не помре
1 день тому
Як відновити пошкоджену флешку: покрокова інструкція
Як відновити пошкоджену флешку: інструкція
3 години тому
Meta хоче запатентувати ШІ, який цілий день слухає користувача та відстежує його емоції
Meta хоче запатентувати ШІ, який цілий день слухає користувача та відстежує його емоції
3 дні тому

Рекомендуємо

099af8b0d22bfb41bcd08068483f1c7a190e201ba1621665cf4df79b515b9a64
Кібербезпека

Автономні ШІ-червʼяки відкривають нову еру адаптивних кібератак

2 дні тому
im storie que es una firma electronica y para que sirve desktop
Гайди та поради

Як створити підпис для PDF-документів на ПК: інструкція

2 дні тому
Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети
Кібербезпека

Атака GhostCommit: як прихований в зображенні промпт змушує ШІ-асистента зливати секрети

4 дні тому
Вхід без пароля: як налаштувати біометричну автентифікацію Windows Hello
Гайди та поради

Вхід без пароля: як налаштувати біометричну автентифікацію Windows Hello

5 днів тому

Гарячі теми

  • Кібербезпека
  • Штучний інтелект
  • Смартфони
  • Комп'ютери
  • Соцмережі
  • Безпека дітей в Інтернеті

Приєднуйтесь

Ласкаво просимо до CyberCalm – вашого надійного провідника у світі цифрової безпеки та спокою!

Інформація
  • Про нас
  • Політика конфіденційності
  • Контакти
Навігація
  • Кібербезпека
  • Гайди та поради
  • Статті
  • Огляди
  • Техногіганти
CyberCalmCyberCalm
© 2025 Cybercalm. All Rights Reserved.
Cybercalm
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?