Как работает атака Признаки компрометации (для пользователей) Признаки компрометации (для владельцев сайтов) Цель: Массовые редиректы пользователей на подконтрольные злоумышленникам ресурсы Кому грозит:медиа,электронная коммерция,гос- и образовательные порталы,блоги - и их аудитория
фиксируется волна атак через подмену или компрометацию CAPTCHA-виджетов
Как работает атака
- Компрометация цепочки поставок: злоумышленники внедряют вредоносный JavaScript в сторонние скрипты или подменяют «капчу»-виджет на сайте.
- Фальшивая проверка «Я не робот»: пользователь видит нестандартное окно CAPTCHA, после клика запускается:скрытый редирект на внешние домены,
- запрос на включение push-уведомлений,
- загрузка «обновления браузера/плагина»,
- кража сессионных cookie и данных форм.
- Монетизация: фишинг, скриминги (скрытая реклама), установка троянов/бэкдоров, перепродажа трафика.
Признаки компрометации (для пользователей)
- Окна «подтвердите, что вы не робот» появляются на неожиданных страницах или выглядят непривычно.
- После клика «Я не робот» — мгновенный переход на другой сайт, просьба «Разрешить уведомления», предложение скачать файл.
- Страницы мигают, открываются новые вкладки, меняется домен в адресной строке.
- Появились навязчивые уведомления в браузере с неизвестных сайтов.
Признаки компрометации (для владельцев сайтов)
- В логах всплеск внешних редиректов после загрузки CAPTCHA-блока.
- В коде страницы/шаблонов — новые или обфусцированные JS-фрагменты (eval, atob, setTimeout с длинными строками).
- Подмена источника виджета: script src указывает на непривычный CDN/домен.
- В CSP-отчетах — срабатывания по нарушению connect-src/script-src из неизвестных доменов.
- Рост 302/307 ответов и обращений к недавно зарегистрированным доменам.
Цель: Массовые редиректы пользователей на подконтрольные злоумышленникам ресурсы
- кража сессий и учетных данных, навязывание уведомлений (push), загрузка вредоносных файлов.
Кому грозит:медиа,электронная коммерция,гос- и образовательные порталы,блоги - и их аудитория