Negli ultimi mesi si è vista una forte diffusione dell’utilizzo di una tecnica emergente, la quale sfrutta captcha fraudolenti per ingannare gli utenti e indurli a eseguire azioni che porterebbero ad infezioni di malware.
I captcha, tradizionalmente utilizzati per distinguere bot da esseri umani, vengono manipolati per veicolare comandi malevoli.
Quando l’utente interagisce con il captcha compromesso, un comando PowerShell dannoso viene automaticamente copiato negli appunti. Subito dopo, un pop-up istruisce l’utente a utilizzare la combinazione di tasti per aprire l’utilità “Esegui” di Windows, incollare il comando copiato e premere “Invio”. Questa sequenza porta all’esecuzione di un comando che scarica ed esegue un malware da un server remoto.
Il payload distribuito include malware come LummaC2 and Rhadamanthys, noti per le loro avanzate capacità di furto di informazioni, come credenziali di accesso o dati sensibili. Il malware è dotato di un meccanismo di callback che notifica l’attore della minaccia in caso di infezione riuscita, consentendogli di ottenere informazioni dell’utente infetto, come ad esempio l’indirizzo IP e la posizione.
Questa tecnica, che sfrutta l’ingegneria sociale per manipolare gli utenti, presenta un elevato potenziale in campagne di phishing o malvertising, data la sua capacità di mascherarsi dietro un’apparenza legittima e familiare per gli utenti.
If you wish to learn more, here is the link to our full report.
In addition, you can subscribe to the specific mailing list Cyber Studios by Tinexta Defence, to receive updates on upcoming research: https://tinextadefence.it/mailing-list-cyber-studios/
