Falsa CAPTCHA Obliga a Usuarios a Ejecutar Malware Disfrazado como Texto de Verificación

Páginas CAPTCHA Engañosas Despliegan Malware Sigiloso Usando Explotación de Windows Run

Analistas de ciberseguridad en Nueva Jersey señalaron un alarmante esquema de malware esta semana que apunta a empleados gubernamentales a través de desafíos CAPTCHA fraudulentos. El Centro de Integración de Ciberseguridad y Comunicaciones de Nueva Jersey (NJCCIC) reveló el 20 de marzo que los atacantes enviaron correos electrónicos a trabajadores del estado con enlaces a sitios web engañosos o comprometidos que se hacen pasar por verificaciones de seguridad. Según el NJCCIC:

Los correos electrónicos contienen enlaces que dirigen a los objetivos a sitios web maliciosos o comprometidos y que provocan desafíos de verificación CAPTCHA engañosos.

Estos desafíos estaban diseñados para engañar a los usuarios a ejecutar comandos peligrosos que instalaban secretamente el infostealer SectopRAT.

El método era particularmente sofisticado, usando un truco basado en el portapapeles para ocultar su intención. Las víctimas que hicieron clic en el enlace fueron dirigidas a una página CAPTCHA falsa que automáticamente copiaba un comando. Luego, el sitio web instruía a los usuarios a pegar el comando en el cuadro de diálogo Ejecutar de Windows como parte de un supuesto paso de verificación. Aunque la parte final del texto pegado parecía un mensaje estándar—“No soy un robot – ID de Verificación reCAPTCHA: ####”—ejecutar el comando en realidad lanzaba mshta.exe, un ejecutable legítimo de Windows usado para obtener y ejecutar malware disfrazado en tipos de archivos comunes.

NJCCIC rastreó la campaña a sitios comprometidos que usaban herramientas ampliamente adoptadas: “Un análisis más detallado indicó que los sitios web comprometidos identificados utilizaban tecnologías como la plataforma del Sistema de Gestión de Contenidos (CMS) de WordPress y Bibliotecas de JavaScript.”

La investigación también descubrió un componente de la cadena de suministro que apunta a sitios web de concesionarios de automóviles a través de un servicio de vídeo comprometido. Los visitantes infectados arriesgaron descargar el mismo infostealer. Mientras tanto, investigadores de ciberseguridad documentaron operaciones relacionadas que distribuían otros tipos de malware:

Los investigadores también descubrieron campañas de malware CAPTCHA falsas similares que desplegaban infostealers Lumma y Vidar y rootkits furtivos. Los desafíos de verificación CAPTCHA legítimos validan la identidad de un usuario y no requieren que los usuarios copien y peguen comandos ni resultados en un cuadro de diálogo Ejecutar de Windows.

Funcionarios aconsejaron a los administradores del sistema actualizar el software, fortalecer las credenciales del CMS y reportar incidentes al Centro de Quejas de Crímenes en Internet del FBI y al NJCCIC.