Исследование Trend Micro зафиксировало резкий рост атак с использованием поддельных CAPTCHA-страниц для доставки стиллеров и троянов. Злоумышленники маскируют вредоносные скрипты (чаще всего — сложный JavaScript, внедрённый в MP3, PDF и HTA-файлы) под легитимные CAPTCHA, которые предлагаются пользователю в виде проверки на «человека». Кампания распространяется через фишинговые письма, malvertising и SEO-отравление: жертва попадает на фальшивую страницу, где её просят скопировать и вставить вредоносную команду в окно «Выполнить» (Windows Run). После запуска команда исполняет скрытый скрипт через mshta.exe или PowerShell, минуя файловую систему, что затрудняет обнаружение.

• Механика атак включает использование легитимных платформ — файловых хостингов, музыкальных репозиториев, редиректоров, что повышает доверие пользователей.
• Заражённые MP3-файлы содержат многоступенчатый обфусцированный JavaScript и часто выглядят как обычные аудиозаписи, загруженные, например, с jamendo.com.
• Выявленные вредоносы: Lumma Stealer, Rhadamanthys, Emmenhtal, AsyncRAT, XWorm; среди приёмов — инъекция кода в легитимные процессы, DLL sideloading, использование временных профилей браузеров.
• Фишинговые рассылки используют шаблоны про «забытые вещи гостя», усиливая доверие и побуждая к действию.
• Распространённые каналы: фишинговые письма (с вложениями или ссылками), вредоносная реклама и SEO-подмена.

Рекомендации для защиты: отключить диалог «Выполнить», ограничить права пользователей, заблокировать доступ к публичным файлообменникам и мониторить аномальную активность буфера обмена и процессов. Особое внимание — ужесточению настроек браузера и активации защиты памяти. Атаки становятся всё сложнее: злоумышленники оперативно меняют инфраструктуру, активно используют доверие к известным сервисам и легитимные утилиты Windows.