Хочется подвести итоги сегодняшнего дня. А произошло сегодня следующее, при открытии сайта клиента появлялось всплывающее окно, которое на чистейшем английском предлагало посетителю сайта подтвердить то, что он самый ни на есть живой человек. Для подтверждения нужно было всего то открыть терминал и вставить содержимое буфера обмена.
После этого компьютер «счастливчика» окажется заражённым.
Я решил выложить эту заметку, чтобы в текстовом виде зафиксировать текст мошеннического сообщения на английском.
Это поможет тем, кто воспользуется поисковыми системами.

Итак, сообщение на английском звучит так:
Complete these Verification Steps
To better prove you are not a robot, please:
-
Press & hold the Windows Key ⊞ + R.
-
Type powershell in the verification window, press Ctrl + V.
-
Press Enter on your keyboard to finish.
You will observe and agree: ✔️ “I am not a robot — reCAPTCHA Verification ID: 201202”
Переводится это следующим образом:
Чтобы доказать, что вы человек, выполните шаги:
-
Нажмите и удерживайте Windows ⊞ + R.
-
Напишите powershell в окне подтверждения и нажмите Ctrl + V.
-
Нажмите Enter, чтобы завершить процесс.
Вы увидите сообщение: ✔️ «Я не робот — верификация reCAPTCHA ID: 201202».
Нажмите кнопку Verify.
Как это работает?
Поскольку сайт клиента был под управлением Joomla, речь далее пойдёт об этой системе.
Злоумышленники, используя уязвимость фреймворка Helix 3, внедрили вредоносный JavaScript код в настройки шаблона сайта.
Выглядело это так:

Соответственно, данный код запускался при каждом открытии страницы.
Автоматически появлялось знакомое всем изображение капчи, а в буфер обмена копировался вредоносный код.

Люди с хорошим английским и тонкой душевной организацией действительно могли последовать инструкциям и в итоге заразить свой компьютер.
Как исправить ситуацию?
Во-первых, хочется обратиться к рядовым посетителям сайтов:
Никогда не нажимайте сочетание клавиш Windows ⊞ + R, если не понимаете зачем это.
Если на каком-то из сайтов вас просят это сделать — покиньте этот сайт. Если известны контакты владельца сайта, известите его о том, что на его сайте запускается вредоносный код.
Скорее всего, владелец сайта даже не подозревает об этом.
Его взломали. Он такая же жертва, как и вы!
Владелец сайта должен максимально быстро обновить все плагины Helix с официального сайта.
Они предлагаются для скачивания совершенно бесплатно!
И, разумеется, удалить вредоносный код из настроек шаблона.
Заключение
Друзья, если вдруг ваш сайт взломан, напишите об этом! Обмен информацией — важная часть противодействия злоумышленникам.
Напоминаю!
Если у вас остались вопросы и предложения, их всегда можно озвучить в группе VK по ссылке ниже:
Также можно подписаться на мой канал в MAX:
С уважением, Владимир Егоров.
