Introduzione: Riconoscere e Neutralizzare la Minaccia dei Falsi CAPTCHA
Una nuova e sofisticata campagna di malware sta colpendo utenti Windows in tutto il mondo, sfruttando un’arma insospettabile: i falsi CAPTCHA. Questi controlli di sicurezza contraffatti, che normalmente servono a verificare che tu sia umano, vengono trasformati in veicoli per distribuire il malware Lumma Stealer, un programma infetto in grado di rubare dati sensibili, informazioni bancarie, cookie e file relativi alle criptovalute.
Se ti trovi di fronte a un CAPTCHA durante la navigazione web, specialmente uno che ti chiede di copiare e incollare comandi nel prompt “Esegui” di Windows, fermati immediatamente. Non eseguire alcun comando sospetto e chiudi la finestra. Questa è la difesa più rapida e efficace contro questa minaccia.
Come Funziona l’Attacco del Falso CAPTCHA
L’attacco inizia in modo apparentemente innocuo. Durante la navigazione web, un utente clicca involontariamente su un annuncio pubblicitario che occupa l’intero schermo. Questo annuncio lo reindirizza a una pagina che sembra legittima, presentando un falso CAPTCHA con il pulsante “Non sono un robot” o un messaggio di errore che imita perfettamente gli avvisi ufficiali di Google Chrome.
Quando l’utente clicca sul pulsante, accade qualcosa di invisibile: un comando PowerShell criptato viene copiato automaticamente negli appunti del computer. A questo punto, la pagina fraudolenta istruisce l’utente a incollare il comando nella cartella del computer e premere Invio, fingendo che sia una procedura di verifica necessaria.
L’utente, fiducioso nel processo, esegue Ctrl+V per incollare il comando e lo avvia. In quel momento, senza accorgersene, installa involontariamente Lumma Stealer sul suo sistema.
La Portata Globale della Campagna
Le statistiche sono allarmanti. Nei mesi di settembre e ottobre 2024, sono stati registrati oltre 140.000 contatti con questi annunci dannosi, e più di 20.000 utenti sono stati reindirizzati a pagine false contenenti script malvagi. Le vittime provengono principalmente da Brasile, Spagna, Italia e Russia, ma la minaccia si sta diffondendo globalmente, con segnalazioni anche da Argentina, Colombia, Stati Uniti e Filippine.
Questa campagna rappresenta un’evoluzione significativa nelle tecniche di distribuzione del malware, poiché sfrutta la fiducia naturale degli utenti nei confronti dei CAPTCHA, un meccanismo di sicurezza ormai familiare a chiunque navighi online.
Cosa Ruba Lumma Stealer
Una volta installato, Lumma Stealer inizia a cercare e rubare informazioni sensibili dalla vittima:
- File e dati relativi alle criptovalute
- Cookie del browser (utilizzati per accedere agli account)
- Dati del password manager e credenziali salvate
- Altre informazioni personali sensibili
Per le vittime, il danno potenziale è enorme: accesso ai conti bancari online, furto di identità, perdita di criptovalute e compromissione di account email e social media.
Varianti dell’Attacco: Falsi Messaggi di Errore Chrome
Gli attaccanti non si fermano a una sola tattica. In una variante più recente della campagna, al posto del falso CAPTCHA compare un messaggio di errore che imita perfettamente lo stile dei messaggi di servizio ufficiali di Chrome. Il messaggio invita l’utente a “copiare la correzione” nella finestra del computer, nascondendo ancora una volta lo stesso comando PowerShell dannoso.
Questa variante è particolarmente insidiosa perché sfrutta l’abitudine degli utenti a fidarsi dei messaggi di errore del browser e a seguire le istruzioni per risolverli.
Come Proteggersi: Consigli Pratici
1. Sii Scettico nei Confronti dei CAPTCHA Inaspettati
Se un CAPTCHA appare improvvisamente durante la navigazione, specialmente uno che ti chiede di eseguire azioni insolite, diffida. I CAPTCHA legittimi non richiedono mai di copiare e incollare comandi nel prompt di Windows.
2. Non Eseguire Comandi Sospetti
Non incollare mai comandi nel prompt “Esegui” (accessibile con Windows+R) a meno che tu non sia completamente sicuro della loro provenienza. Se una pagina web ti chiede di farlo, è quasi certamente una truffa.
3. Chiudi le Finestre Pop-up Sospette
Chiudi immediatamente qualsiasi finestra pop-up o messaggio che ti sembra strano o fuori luogo. Non aspettare di capire cosa sia.
4. Mantieni il Tuo Sistema Aggiornato
Assicurati che Windows, il tuo browser e il tuo software antivirus siano sempre aggiornati all’ultima versione. Gli aggiornamenti di sicurezza proteggono contro minacce note.
5. Utilizza un Antivirus Affidabile
Installa e mantieni attivo un software antivirus reputato. Molti antivirus possono rilevare e bloccare questi script dannosi prima che causino danni.
6. Stacca il Computer da Internet se Infetto
Se sospetti di aver già cliccato su uno di questi falsi CAPTCHA, stacca immediatamente il computer da Internet (disabilita il Wi-Fi e scollega il cavo Ethernet) ed esegui una scansione completa con Windows Defender o un antivirus esterno.
Distribuzione Alternativa: Falsi Siti di Download
I criminali informatici utilizzano anche altri metodi per diffondere Lumma Stealer. Recentemente, è stato distribuito attraverso circa 1.000 domini contraffatti che impersonano servizi legittimi come Reddit e WeTransfer. Gli utenti vengono indirizzati a scaricare archivi protetti da password che contengono un dropper AutoIT chiamato SelfAU3 Dropper, il quale successivamente esegue il malware stealer.
Questo metodo è altrettanto pericoloso e sottolinea l’importanza di scaricare software e file solo da fonti ufficiali verificate.
Technical Deep Dive: Analisi Tecnica per Professionisti IT
Per i professionisti della sicurezza informatica, è importante comprendere i meccanismi tecnici sottostanti a questa campagna.
Il Ruolo di PowerShell e mshta.exe
Il comando PowerShell criptato utilizza il binario mshta.exe per scaricare ed eseguire un file HTA (HTML Application) da un server remoto. Questa tecnica è simile a una precedente iterazione nota come ClickFix. Il file HTA esegue a sua volta un comando PowerShell per lanciare un payload successivo.
La scelta di mshta.exe è strategica: si tratta di un processo legittimo di Microsoft che raramente viene bloccato dagli antivirus, a meno di configurazioni specifiche. Eseguendo il payload direttamente da un URL malevolo senza scrivere su disco, l’attacco risulta fileless e più difficile da rilevare dai software di sicurezza basati su firme.
Elusione dell’AMSI
Prima dell’esecuzione del payload, vengono adottate misure per eludere l’Antimalware Scan Interface (AMSI) di Windows, con l’obiettivo di evitare il rilevamento da parte dei motori antimalware integrati nel sistema operativo.
Offuscamento e Evasione Avanzata
Il payload finale è un PE (Portable Executable) offuscato che utilizza tecniche di evasione avanzate, tra cui:
- IsDebuggerPresent: rileva se il processo è in esecuzione in un debugger
- Trigonometry: utilizza calcoli matematici per offuscare il codice
- VM Evasion: rileva se il processo è in esecuzione in una macchina virtuale
Queste tecniche interrompono il funzionamento del malware in ambienti di analisi sandbox, rendendo estremamente difficile per i ricercatori di sicurezza analizzare il comportamento del malware.
Distribuzione Multipla
Lumma Stealer utilizza diversi metodi di distribuzione e payload, rendendo più complesso il rilevamento e il blocco di tali minacce, specialmente quando si abusa delle interazioni dell’utente all’interno del sistema.
Raccomandazioni per i Team di Sicurezza
I team di sicurezza dovrebbero:
- Monitorare l’esecuzione di mshta.exe da origini sospette
- Implementare controlli AMSI avanzati
- Bloccare domini noti associati a questa campagna
- Educare gli utenti sui rischi dei falsi CAPTCHA
- Analizzare il traffico di rete per identificare comunicazioni verso server di comando e controllo
- Utilizzare strumenti come PE-Sieve per estrarre e analizzare i payload dalla memoria
Questa campagna dimostra come gli attaccanti continuino a innovare nel campo dell’ingegneria sociale e dell’evasione dei sistemi di sicurezza, combinando tecniche consolidate con nuovi vettori di attacco.
Fonte: https://cybersecuritynews.com/fake-captcha-attack-leverages-microsoft-application-virtualization/
