Pagine CAPTCHA false hanno ingannato gli utenti facendoli incollare comandi infetti da malware nel comando Esegui di Windows, lanciando attacchi furtivi che distribuivano infostealers senza essere rilevati.
Fake CAPTCHA costringe gli utenti a eseguire malware mascherato da testo di verifica
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Pagine CAPTCHA ingannevoli distribuiscono malware furtivo sfruttando l’Esegui di Windows
Gli analisti di sicurezza informatica nel New Jersey hanno segnalato questa settimana uno schema di malware allarmante che prende di mira i dipendenti del governo attraverso sfide CAPTCHA fraudolente. Il Cybersecurity and Communications Integration Cell del New Jersey (NJCCIC) ha rivelato il 20 marzo che gli attaccanti hanno inviato email a lavoratori statali contenenti link a siti web ingannevoli o compromessi che si spacciavano per controlli di sicurezza. Secondo il NJCCIC:
Le email contengono link che dirigono gli obiettivi verso siti web dannosi o compromessi e attivano sfide di verifica CAPTCHA ingannevoli.
Queste sfide sono state progettate per ingannare gli utenti facendoli eseguire comandi pericolosi che installavano segretamente l’infostealer SectopRAT.
Il metodo era particolarmente sofisticato, utilizzando un inganno basato sul blocco degli appunti per nascondere le sue intenzioni. Le vittime che cliccavano sul link venivano indirizzate a una pagina CAPTCHA falsa che copiava automaticamente un comando. Il sito web poi istruiva gli utenti a incollare il comando nella finestra di dialogo Esegui di Windows come parte di un presunto step di verifica. Anche se l’ultima parte del testo incollato sembrava un messaggio standard—“Non sono un robot – ID verifica reCAPTCHA: ####”—l’esecuzione del comando lanciava in realtà mshta.exe, un eseguibile legittimo di Windows utilizzato per recuperare ed eseguire malware mascherato in comuni tipi di file.
Il NJCCIC ha rintracciato la campagna a siti compromessi che utilizzavano strumenti ampiamente adottati: “Ulteriori analisi hanno indicato che i siti web compromessi identificati utilizzavano tecnologie come la piattaforma WordPress Content Management System (CMS) e le librerie JavaScript.”
L’indagine ha anche scoperto un componente della supply chain che prende di mira i siti web di concessionarie auto attraverso un servizio video compromesso. I visitatori infettati rischiavano di scaricare lo stesso infostealer. Nel frattempo, i ricercatori di sicurezza informatica hanno documentato operazioni correlate che distribuivano altri tipi di malware:
I ricercatori hanno anche scoperto campagne malware con CAPTCHA falsi simili che distribuivano infostealers Lumma e Vidar e rootkit furtivi. Le sfide di verifica CAPTCHA legittime convalidano l’identità di un utente e non richiedono agli utenti di copiare e incollare comandi o output nel box di dialogo Esegui di Windows.
I funzionari hanno consigliato agli amministratori di sistema di aggiornare il software, rafforzare le credenziali del CMS, e segnalare gli incidenti al Centro di Reclamo per i Crimini Internet dell’FBI e al NJCCIC.
