Falso CAPTCHA Obriga Usuários a Executar Malware Disfarçado como Texto de Verificação

Páginas de CAPTCHA Enganosas Implantam Malware Furtivo Usando Exploit do Windows Run

Analistas de cibersegurança em Nova Jersey sinalizaram um esquema alarmante de malware esta semana, direcionado a funcionários do governo através de desafios CAPTCHA fraudulentos. A Célula de Integração de Cibersegurança e Comunicações de Nova Jersey (NJCCIC) revelou em 20 de março que os atacantes enviaram e-mails para trabalhadores do estado contendo links para sites enganosos ou comprometidos que se passavam por verificações de segurança. De acordo com a NJCCIC:

Os e-mails contêm links que direcionam os alvos para sites maliciosos ou comprometidos, incitando desafios de verificação CAPTCHA enganosos.

Esses desafios foram projetados para enganar os usuários a executar comandos perigosos que instalavam secretamente o infostealer SectopRAT.

O método era particularmente sofisticado, usando um truque baseado na área de transferência para ocultar sua intenção. As vítimas que clicavam no link eram direcionadas a uma página de CAPTCHA falsa que copiava automaticamente um comando. O site então instruía os usuários a colar o comando na caixa de diálogo do Windows Run como parte de uma suposta etapa de verificação. Embora a parte final do texto colado parecesse uma mensagem padrão—“Eu não sou um robô – ID de Verificação reCAPTCHA: ####”—executar o comando na verdade iniciava o mshta.exe, um executável legítimo do Windows usado para buscar e executar malware disfarçado em tipos de arquivo comuns.

A NJCCIC rastreou a campanha para sites comprometidos que usavam ferramentas amplamente adotadas: “Análises adicionais indicaram que os sites comprometidos identificados usaram tecnologias como a plataforma do Sistema de Gerenciamento de Conteúdo WordPress (CMS) e Bibliotecas JavaScript.”

A investigação também revelou um componente da cadeia de suprimentos voltado para sites de concessionárias de automóveis através de um serviço de vídeo comprometido. Visitantes infectados corriam o risco de baixar o mesmo infostealer. Enquanto isso, pesquisadores de cibersegurança documentaram operações relacionadas que distribuíam outros tipos de malware:

Pesquisadores também descobriram campanhas de malware similares de CAPTCHA falsas implantando os infostealers Lumma e Vidar e rootkits furtivos. Desafios legítimos de verificação CAPTCHA validam a identidade de um usuário e não exigem que os usuários copiem e colem comandos ou saídas em uma caixa de diálogo Windows Run.

Funcionários aconselharam administradores de sistema a atualizar software, reforçar credenciais de CMS e reportar incidentes ao Centro de Queixas de Crimes na Internet do FBI e à NJCCIC.