400 подписчиков

Вас просят пройти капчу в Telegram? Могут украсть данные

6 декабря 20256 дек 2025

1 мин

Недавно на Habr рассказали о новой хитрой схеме, в которой хакеры используют фальшивую CAPTCHA в Telegram и заставляют людей запускать вредоносный скрипт PowerShell. Схема выглядит так: мошенники создают фейковый канал в Telegram якобы от имени Росса Ульбрихта (основателя площадки Silk Road) и распространяют ссылку на него через фейковые аккаунты в соцсети X (бывший Twitter). Внутри канала пользователю показывают форму под названием «Safeguard», предлагая пройти «проверку личности». Тест работает в виде мини‑приложения, напоминающего обычную капчу, но заканчивается сюрпризом: сервис автоматически копирует команду PowerShell в буфер обмена и предлагает открыть окно «Выполнить» в Windows, вставить скопированный код и запустить его. При выполнении команда скачивает ZIP‑архив с сайта openline[.]cyou, из которого извлекается исполняемый файл identity-helper.exe; исследователи отмечают, что он может быть загрузчиком для Cobalt Strike — инструмента для получения удалённого доступа к компьюте

Недавно на Habr рассказали о новой хитрой схеме, в которой хакеры используют фальшивую CAPTCHA в Telegram и заставляют людей запускать вредоносный скрипт PowerShell. Схема выглядит так: мошенники создают фейковый канал в Telegram якобы от имени Росса Ульбрихта (основателя площадки Silk Road) и распространяют ссылку на него через фейковые аккаунты в соцсети X (бывший Twitter). Внутри канала пользователю показывают форму под названием «Safeguard», предлагая пройти «проверку личности».

Тест работает в виде мини‑приложения, напоминающего обычную капчу, но заканчивается сюрпризом: сервис автоматически копирует команду PowerShell в буфер обмена и предлагает открыть окно «Выполнить» в Windows, вставить скопированный код и запустить его. При выполнении команда скачивает ZIP‑архив с сайта openline[.]cyou, из которого извлекается исполняемый файл identity-helper.exe; исследователи отмечают, что он может быть загрузчиком для Cobalt Strike — инструмента для получения удалённого доступа к компьютеру, часто используемого в реальных взломах.

Эксперты Guardio Labs и Infoblox обнаружили эту схему и предупреждают: это очередная вариация тактики Click‑Fix, которая набирает популярность. Мошенники маскируют вредоносные действия под «обязательные проверки» и играют на доверии пользователей. Важно помнить, что настоящие капчи никогда не требуют запускать команды в терминале или вставлять текст в системные окна.

Чтобы защититься, специалисты советуют соблюдать простые правила:

Не копируйте команды из сети напрямую в PowerShell или окно «Выполнить». Если вы получили код, вставьте его сначала в текстовый редактор, чтобы посмотреть, что он делает.
С осторожностью относитесь к приглашениям в незнакомые каналы, особенно если они якобы от известных персон или компаний. Проверьте адрес ссылки, читайте отзывы.
Включайте двухфакторную аутентификацию в Telegram и других сервисах и проверяйте подлинность QR‑кодов и мини‑приложений.

В эпоху популярности нейросетей и автоматизации даже капча для Телеграм группы может оказаться приманкой для кражи данных. Помните: никакая проверка не должна заставлять вас выполнять команды в системе.