Фейкові CAPTCHA віруси — як працює fake CAPTCHA та чому небезпечний PowerShell virus

Короткий опис: Вас просять “підтвердити, що ви не робот”, натиснути Win + R, вставити команду PowerShell або виконати дивну перевірку CAPTCHA? Це одна з найнебезпечніших сучасних схем зараження Windows через fake CAPTCHA. Нижче — як працює captcha virus, чому PowerShell virus особливо небезпечний та як захистити комп’ютер.

Останнім часом фейкові CAPTCHA стали масовою схемою зараження Windows-комп’ютерів. Користувач заходить на сайт, бачить “перевірку безпеки”, а далі отримує інструкцію виконати команду через PowerShell або командний рядок.

Багато людей думають, що це звичайна CAPTCHA або Cloudflare-перевірка, але насправді таким способом запускається шкідливий PowerShell-скрипт.

Після запуску команда може:

завантажити троян;
встановити стилер паролів;
вкрасти cookie браузера;
отримати доступ до Telegram;
викрасти криптогаманці;
запустити майнер;
встановити віддалений доступ до ПК.

У чому проблема або коли це потрібно

Найчастіше fake CAPTCHA виглядає максимально правдоподібно. Користувачу показують:

“Перевірка браузера”;
“Cloudflare verification”;
“Підтвердьте, що ви не робот”;
“Натисніть Win + R”;
“Вставте код у PowerShell”;
“Для доступу до сайту виконайте перевірку”.

Проблема в тому, що людина сама запускає шкідливий код на комп’ютері.

Особливо часто такі атаки зустрічаються:

на піратських сайтах;
на сайтах із кряками;
на сторінках з фільмами;
у фейкових онлайн-кінотеатрах;
на сайтах “безкоштовних програм”;
через рекламу та pop-up вікна.

Найпростіший спосіб перевірити fake CAPTCHA

Справжня CAPTCHA ніколи не просить:

натискати Win + R;
відкривати PowerShell;
вставляти команди;
запускати CMD;
виконувати скрипти;
відключати антивірус.

Якщо сайт просить виконати щось подібне — це майже гарантовано шахрайство або malware.

Як працює fake CAPTCHA virus

Етап	Що відбувається	Мета
1	Користувач відкриває сайт	Показати fake CAPTCHA
2	Сайт просить Win + R	Запустити PowerShell
3	Користувач вставляє команду	Запустити malware
4	PowerShell завантажує payload	Інфікувати Windows
5	Вірус отримує доступ до системи	Крадіжка даних або віддалений контроль

Чому PowerShell virus такий небезпечний

PowerShell — це легальний системний інструмент Windows. Через це:

деякі антивіруси реагують із затримкою;
команда виглядає “системною”;
вірус може запускатися без EXE-файлу;
шкідливий код часто працює прямо в пам’яті;
частина malware не залишає помітних файлів.

Сучасні PowerShell-віруси часто використовують:

Base64-кодування;
обфускацію;
завантаження payload із GitHub;
тимчасові скрипти;
віддалені сервери C2.

Що може викрасти captcha virus

Після зараження malware може отримати:

паролі браузера;
cookie сесій;
Telegram-сесії;
Discord токени;
Steam акаунти;
дані криптогаманців;
доступ до Google акаунта;
банківські дані.

Особливо небезпечні стилери типу:

Lumma Stealer;
RedLine;
Vidar;
Raccoon;
RisePro.

Покрокова інструкція — що робити після запуску PowerShell-команди

Негайно вимкніть Інтернет.
Це може зупинити передачу викрадених даних.
Закрийте PowerShell.
Якщо процес ще активний — завершіть його через Диспетчер задач.
Запустіть повне сканування антивірусом.
Бажано використати:
- Microsoft Defender Offline;
- Malwarebytes;
- ESET Online Scanner;
- KVRT.
Змініть паролі.
Особливо:
- Google;
- Telegram;
- Steam;
- Discord;
- банкінг;
- криптобіржі.
Перевірте автозапуск Windows.
Вірус міг додати себе в:
- Task Scheduler;
- Run registry;
- Startup folder;
- Services.
Перевірте браузери.
Malware часто краде:
- cookies;
- saved passwords;
- sessions.

Як перевірити Windows після fake CAPTCHA

Ознаки зараження:

PowerShell відкривається сам;
браузер перекидає на рекламу;
зникли акаунти;
Telegram вийшов із сесії;
з’явилися підозрілі процеси;
Windows почала гальмувати;
антивірус вимкнувся.

Також варто перевірити:

Task Scheduler;
Autoruns;
Startup apps;
Defender exclusions;
браузерні розширення.

Корисні поради та лайфхаки

Справжня CAPTCHA ніколи не просить запускати команди через Win + R.
Якщо сайт вимагає PowerShell — закрийте вкладку.
Не запускайте команди, які ви не розумієте.
На Windows бажано залишати увімкненим Microsoft Defender.
У браузері Chrome або Edge увімкніть Safe Browsing.
Не використовуйте піратські сайти з “безкоштовними програмами”.
Маловідомий лайфхак: багато fake CAPTCHA атак працюють тільки через рекламу. Блокувальник реклами сильно зменшує ризик зараження.
Якщо ви працюєте з криптовалютою — використовуйте окремий браузер для бірж.

Типові помилки користувачів

Помилка 1 — довіра до “Cloudflare verification”

Шахраї активно копіюють дизайн Cloudflare.

Помилка 2 — запуск PowerShell-команди

Саме це і запускає вірус.

Помилка 3 — ігнорування зараження

Навіть якщо “нічого не сталося”, malware міг украсти cookies або токени.

Помилка 4 — збереження старих паролів

Після fake CAPTCHA потрібно змінювати паролі.

Порівняння справжньої та фейкової CAPTCHA

Ознака	Справжня CAPTCHA	Fake CAPTCHA
Win + R	Ніколи	Часто
PowerShell	Не використовується	Використовується
CMD-команди	Ніколи	Можуть бути
Cloudflare логотип	Справжній	Часто підроблений
Встановлення файлів	Ніколи	Може бути

Часті запитання

Чи може CAPTCHA просити Win + R?

Ні. Це майже гарантована ознака malware або шахрайства.

Що робити, якщо я вже вставив PowerShell-команду?

Відключіть Інтернет, перевірте ПК антивірусом та змініть паролі.

Чи небезпечний PowerShell сам по собі?

Ні. Це легальний інструмент Windows, але його активно використовують malware.

Чи допомагає Microsoft Defender?

Так, у багатьох випадках Defender виявляє такі атаки.

Чому fake CAPTCHA стала такою популярною?

Тому що користувач сам запускає шкідливий код, обходячи частину захисту Windows.

Чи можуть викрасти криптовалюту?

Так. Стилери активно шукають криптогаманці та browser extensions.

Чи потрібно перевстановлювати Windows?

У складних випадках це найнадійніший варіант.

Читайте також

Закладки

Якщо вам була корисна ця стаття, додайте наш блог
про кібербезпеку та захист Windows
у закладки.

Натисніть Ctrl + D

Фейкові CAPTCHA віруси — як працює fake CAPTCHA та чому небезпечний PowerShell virus