Een nieuw onderzoeksrapport gepubliceerd door DNSFilter wijst op een toenemende bedreiging voor cryptocurrency-gebruikers door valse CAPTCHA-pagina's, die bedrieglijke "Ik ben geen robot" prompts gebruiken om malware te verspreiden die gericht is op crypto-wallets. Volgens DNSFilter werd de kwaadaardige activiteit voor het eerst geïdentificeerd door een van hun managed service provider (MSP) klanten. Wat aanvankelijk leek op een routinematige CAPTCHA-verificatie was in werkelijkheid een poging om Lumma Stealer te implementeren, een bestandsloze malware die in staat is om in browsers opgeslagen inloggegevens en wallet-informatie te stelen. Hoewel DNSFilter's contentfiltering de aanval met succes blokkeerde, hebben hun onderzoekers de infrastructuur getraceerd om bredere patronen van gecoördineerde phishing-pogingen bloot te leggen. Valse CAPTCHA-zwendel richt zich op Griekse bankgebruikers, levert Lumma Stealer via PowerShell-truc Het incident begon toen gebruikers een CAPTCHA-overlay tegenkwamen op een Griekse bankwebsite. De pagina bootste een legitieme CAPTCHA na, maar toonde een bericht dat beweerde dat er een DNS "netwerkfout" was, waarbij gebruikers werden geïnstrueerd om Windows + R in te drukken, een opdracht van het klembord te plakken en op Enter te drukken. Het volgen van deze stappen zou stilletjes de Lumma Stealer-payload uitvoeren via PowerShell buiten de browser terwijl er een DNS-lookup werd uitgevoerd. Bron: DNSFilter DNSFilter koppelde de campagne aan twee andere domeinen: human-verify-7u.pages.dev, een Cloudflare Pages-site die een foutmelding geeft nadat de gebruiker op de knop klikt, en recaptcha-manual.shop, dat opdrachten buiten de browser uitvoert nadat gebruikers de instructies volgen. Verder onderzoek, gedetailleerd in DNSFilter's casestudy, onthulde dat de campagne een geavanceerde combinatie was van phishing en malware-verspreiding. Aanvallers vertrouwden op bestandsloze uitvoeringstechnieken, waarbij legitieme browserprocessen werden gebruikt om payloads af te leveren zonder naar de schijf te schrijven. DNSFilter implementeerde zijn contentfiltering en domeinblokkerende controles in het netwerk van de MSP, waardoor infecties werden voorkomen voordat inloggegevens of wallet-gegevens werden gecompromitteerd. Waarschuwingen en blokkeerbeleid werden in realtime bijgewerkt, en de MSP organiseerde educatiesessies voor eindgebruikers om de gevaren van interactie met verdachte CAPTCHA's te benadrukken. "De malware in dit geval was Lumma Stealer, afgeleverd via een valse CAPTCHA in een bedrieglijke malvertising-keten. Als het apparaat van de analist geïnfecteerd was geweest, had de PowerShell-payload Windows AMSI kunnen uitschakelen en Lumma DLL kunnen laden," legt het rapport uit. "De stealer doorzoekt onmiddellijk het systeem op alles wat het kan verzilveren—in browsers opgeslagen wachtwoorden en cookies, opgeslagen 2FA-tokens, cryptocurrency-wallet-gegevens, remote-access-inloggegevens, en zelfs wachtwoordbeheerder-kluizen." Analyse toonde aan dat de valse CAPTCHA 23 keer werd geopend in het DNSFilter-netwerk in slechts drie dagen. Nog verontrustender is dat 17% van de gebruikers die de pagina tegenkwamen de kopieer-en-plak-instructies volgden, waardoor de malware-payload-poging werd geactiveerd. Hoewel DNSFilter in dit geval succesvolle infecties voorkwam, merkten onderzoekers de potentiële omvang op als dit ongecontroleerd zou blijven. Snelle witwaspraktijken laten zwendelslachtoffers machteloos om gestolen crypto te recupereren Rapporten hebben onthuld dat cybercriminelen gestolen cryptocurrency met ongekende snelheid witwassen. Bij deze snelheden hebben slachtoffers van valse CAPTCHA-schema's vrijwel geen kans om hun fondsen terug te krijgen. Volgens het vorige rapport kunnen crypto-hackers nu gestolen digitale activa in minder dan drie minuten via witwasmethoden overdragen. 🚨 Hackers stelen meer crypto en verplaatsen het sneller. Eén witwasproces duurde slechts 2 minuten en 57 seconden. Kan de industrie dit aan? #CryptoSecurity #Web3 #Blockchain #DeFi https://t.co/lGwutYsT6Q — Cryptonews.com (@cryptonews) 12 augustus 2025 Gegevens van Elliptic tonen aan dat hackers door het gebruik van geautomatiseerde witwasinstrumenten en gedecentraliseerde exchanges (DEXs) het hele witwasproces in enkele minuten uitvoeren. Bron: Elliptic "Deze nieuwe snelheid maakt realtime interventie bijna onmogelijk," waarschuwde het rapport. Cyberbeveiligingsexperts waarschuwen dat de valse CAPTCHA-zwendelpraktijken niet alleen een zorg zijn voor grote bedrijven maar ook voor gewone gebruikers, omdat ze vaak vermomd zijn als onderdeel van inlogportalen of app-installaties en gericht zijn op gewone internetgebruikers die mogelijk geen kwaad vermoeden totdat hun wallets zijn leeggehaald. "Kwaadwillenden maken misbruik van zowel de hoogte- als dieptepunten van het leven," zei Ken Carnesi, CEO en medeoprichter van DNSFilter. "Elke persoon in elke organisatie heeft dezelfde kans om een kwaadaardige link tegen te komen. De standaard cyberhygiënetips zijn van toepassing: gebruik unieke wachtwoorden, verifieer met wie je 'praat' voordat je inloggegevens overhandigt, en denk na voordat je klikt." Het snelle witwasproces verergert de impact. Slachtoffers ontdekken de diefstal vaak te laat. Wetshandhavingsinstanties vinden het moeilijk om de gestolen fondsen over meerdere blockchains te traceren. Experts merken echter op dat wanneer cyberbeveiligingsbedrijven snel ingrijpen, alle of een deel van de gestolen fondsen nog steeds kunnen worden teruggevorderd. "Snelheid is cruciaal. Fondsen kunnen vaak geheel of gedeeltelijk worden teruggevorderd als de juiste acties worden ondernomen binnen 24 tot 72 uur," zei Cameron G. Shilling, een cyberbeveiligingsexpert, in een publicatie. Naarmate hackers de witwasstijden blijven verkorten, zullen de risico's voor slachtoffers naar verwachting toenemen. "De wapenwedloop tussen cybercriminelen en verdedigers versnelt," concludeerde Elliptic. "Snelheid is nu het grootste wapen van de hackers."Een nieuw onderzoeksrapport gepubliceerd door DNSFilter wijst op een toenemende bedreiging voor cryptocurrency-gebruikers door valse CAPTCHA-pagina's, die bedrieglijke "Ik ben geen robot" prompts gebruiken om malware te verspreiden die gericht is op crypto-wallets. Volgens DNSFilter werd de kwaadaardige activiteit voor het eerst geïdentificeerd door een van hun managed service provider (MSP) klanten. Wat aanvankelijk leek op een routinematige CAPTCHA-verificatie was in werkelijkheid een poging om Lumma Stealer te implementeren, een bestandsloze malware die in staat is om in browsers opgeslagen inloggegevens en wallet-informatie te stelen. Hoewel DNSFilter's contentfiltering de aanval met succes blokkeerde, hebben hun onderzoekers de infrastructuur getraceerd om bredere patronen van gecoördineerde phishing-pogingen bloot te leggen. Valse CAPTCHA-zwendel richt zich op Griekse bankgebruikers, levert Lumma Stealer via PowerShell-truc Het incident begon toen gebruikers een CAPTCHA-overlay tegenkwamen op een Griekse bankwebsite. De pagina bootste een legitieme CAPTCHA na, maar toonde een bericht dat beweerde dat er een DNS "netwerkfout" was, waarbij gebruikers werden geïnstrueerd om Windows + R in te drukken, een opdracht van het klembord te plakken en op Enter te drukken. Het volgen van deze stappen zou stilletjes de Lumma Stealer-payload uitvoeren via PowerShell buiten de browser terwijl er een DNS-lookup werd uitgevoerd. Bron: DNSFilter DNSFilter koppelde de campagne aan twee andere domeinen: human-verify-7u.pages.dev, een Cloudflare Pages-site die een foutmelding geeft nadat de gebruiker op de knop klikt, en recaptcha-manual.shop, dat opdrachten buiten de browser uitvoert nadat gebruikers de instructies volgen. Verder onderzoek, gedetailleerd in DNSFilter's casestudy, onthulde dat de campagne een geavanceerde combinatie was van phishing en malware-verspreiding. Aanvallers vertrouwden op bestandsloze uitvoeringstechnieken, waarbij legitieme browserprocessen werden gebruikt om payloads af te leveren zonder naar de schijf te schrijven. DNSFilter implementeerde zijn contentfiltering en domeinblokkerende controles in het netwerk van de MSP, waardoor infecties werden voorkomen voordat inloggegevens of wallet-gegevens werden gecompromitteerd. Waarschuwingen en blokkeerbeleid werden in realtime bijgewerkt, en de MSP organiseerde educatiesessies voor eindgebruikers om de gevaren van interactie met verdachte CAPTCHA's te benadrukken. "De malware in dit geval was Lumma Stealer, afgeleverd via een valse CAPTCHA in een bedrieglijke malvertising-keten. Als het apparaat van de analist geïnfecteerd was geweest, had de PowerShell-payload Windows AMSI kunnen uitschakelen en Lumma DLL kunnen laden," legt het rapport uit. "De stealer doorzoekt onmiddellijk het systeem op alles wat het kan verzilveren—in browsers opgeslagen wachtwoorden en cookies, opgeslagen 2FA-tokens, cryptocurrency-wallet-gegevens, remote-access-inloggegevens, en zelfs wachtwoordbeheerder-kluizen." Analyse toonde aan dat de valse CAPTCHA 23 keer werd geopend in het DNSFilter-netwerk in slechts drie dagen. Nog verontrustender is dat 17% van de gebruikers die de pagina tegenkwamen de kopieer-en-plak-instructies volgden, waardoor de malware-payload-poging werd geactiveerd. Hoewel DNSFilter in dit geval succesvolle infecties voorkwam, merkten onderzoekers de potentiële omvang op als dit ongecontroleerd zou blijven. Snelle witwaspraktijken laten zwendelslachtoffers machteloos om gestolen crypto te recupereren Rapporten hebben onthuld dat cybercriminelen gestolen cryptocurrency met ongekende snelheid witwassen. Bij deze snelheden hebben slachtoffers van valse CAPTCHA-schema's vrijwel geen kans om hun fondsen terug te krijgen. Volgens het vorige rapport kunnen crypto-hackers nu gestolen digitale activa in minder dan drie minuten via witwasmethoden overdragen. 🚨 Hackers stelen meer crypto en verplaatsen het sneller. Eén witwasproces duurde slechts 2 minuten en 57 seconden. Kan de industrie dit aan? #CryptoSecurity #Web3 #Blockchain #DeFi https://t.co/lGwutYsT6Q — Cryptonews.com (@cryptonews) 12 augustus 2025 Gegevens van Elliptic tonen aan dat hackers door het gebruik van geautomatiseerde witwasinstrumenten en gedecentraliseerde exchanges (DEXs) het hele witwasproces in enkele minuten uitvoeren. Bron: Elliptic "Deze nieuwe snelheid maakt realtime interventie bijna onmogelijk," waarschuwde het rapport. Cyberbeveiligingsexperts waarschuwen dat de valse CAPTCHA-zwendelpraktijken niet alleen een zorg zijn voor grote bedrijven maar ook voor gewone gebruikers, omdat ze vaak vermomd zijn als onderdeel van inlogportalen of app-installaties en gericht zijn op gewone internetgebruikers die mogelijk geen kwaad vermoeden totdat hun wallets zijn leeggehaald. "Kwaadwillenden maken misbruik van zowel de hoogte- als dieptepunten van het leven," zei Ken Carnesi, CEO en medeoprichter van DNSFilter. "Elke persoon in elke organisatie heeft dezelfde kans om een kwaadaardige link tegen te komen. De standaard cyberhygiënetips zijn van toepassing: gebruik unieke wachtwoorden, verifieer met wie je 'praat' voordat je inloggegevens overhandigt, en denk na voordat je klikt." Het snelle witwasproces verergert de impact. Slachtoffers ontdekken de diefstal vaak te laat. Wetshandhavingsinstanties vinden het moeilijk om de gestolen fondsen over meerdere blockchains te traceren. Experts merken echter op dat wanneer cyberbeveiligingsbedrijven snel ingrijpen, alle of een deel van de gestolen fondsen nog steeds kunnen worden teruggevorderd. "Snelheid is cruciaal. Fondsen kunnen vaak geheel of gedeeltelijk worden teruggevorderd als de juiste acties worden ondernomen binnen 24 tot 72 uur," zei Cameron G. Shilling, een cyberbeveiligingsexpert, in een publicatie. Naarmate hackers de witwasstijden blijven verkorten, zullen de risico's voor slachtoffers naar verwachting toenemen. "De wapenwedloop tussen cybercriminelen en verdedigers versnelt," concludeerde Elliptic. "Snelheid is nu het grootste wapen van de hackers."