Una de las tácticas más recientes y peligrosas recientemente descubiertas para la distribución de malware es el uso de captchas falsos que no solo buscan verificar si eres un humano, sino que aprovechan la distracción para infectar tu equipo. En las últimas semanas, se ha detectado un aumento significativo de campañas maliciosas de captchas falsos que distribuyen el malware Lumma Stealer, un peligroso programa diseñado para robar datos sensibles.
Los ataques de captchas falsos han afectado a más de 1.4 millones de usuarios en todo el mundo, con un impacto especialmente alto en países como Italia, Argentina, Francia, España y Brasil según informa Gen digital.
¿Cómo funcionan los captchas falsos?
Los captchas, esos conocidos cuadros que piden seleccionar imágenes o escribir caracteres para demostrar que no eres un robot, son una herramienta común para proteger sitios web de accesos no autorizados. Sin embargo, los cibercriminales han encontrado la manera de utilizar versiones falsas de estos captchas como una trampa para los usuarios.
Los atacantes suelen enviar correos electrónicos de phishing que se hacen pasar por entidades legítimas, como equipos de seguridad de plataformas conocidas, y redirigen a las víctimas a sitios web maliciosos. Uno de los métodos más populares recientemente observados es la suplantación del equipo de seguridad de GitHub, donde los usuarios son llevados a una página que presenta un captcha falso.
Una vez que el usuario llega a la página y completa el captcha, se le presenta un conjunto de instrucciones para copiar un script malicioso en su portapapeles. Estas instrucciones pueden indicar al usuario que presione combinaciones de teclas como Win+R o que ejecute comandos en la línea de comandos de su sistema, lo que lleva a la descarga e instalación del malware Lumma Stealer sin que el usuario se dé cuenta del peligro.
Lumma Stealer: un malware peligroso
El malware Lumma Stealer es el principal payload que se distribuye mediante estas campañas de captchas falsos. Este software malicioso está diseñado específicamente para robar información sensible del dispositivo comprometido. Una vez que el usuario sigue las instrucciones engañosas y ejecuta el script malicioso, este se conecta a un servidor de comando y control (C&C) remoto, generalmente alojado en plataformas como GitHub, desde donde descarga el payload final.
El proceso comienza con la descarga de un script de PowerShell que a su vez baja otro script secundario desde un repositorio de GitHub. Este segundo script es responsable de comunicarse con el servidor C&C para obtener el archivo final de Lumma Stealer, a menudo disfrazado como una aplicación legítima llamada SysSetup.exe. Una vez ejecutado, Lumma Stealer puede acceder a datos sensibles, incluyendo contraseñas, credenciales de acceso, historial de navegación y otra información personal que puede ser explotada o vendida en la dark web.
Los países más afectados
En las últimas cuatro semanas, los ataques de captchas falsos se han expandido rápidamente, afectando a millones de usuarios en todo el mundo. Países como Italia, Argentina, Francia, España y Brasil han experimentado un incremento notable en la actividad de estas campañas maliciosas, lo que subraya la necesidad urgente de tomar medidas de protección más robustas.
El impacto global de estas campañas es preocupante, ya que los cibercriminales utilizan técnicas avanzadas de distribución y fácil evasión para asegurarse de que el malware llegue a tantos usuarios como sea posible sin ser detectado por sistemas de seguridad convencionales.
El uso de captchas falsos es solo uno de los muchos métodos que los cibercriminales emplean para engañar a los usuarios y distribuir malware como Lumma Stealer. A medida que estas técnicas se vuelven más sofisticadas, es esencial que los usuarios permanezcan alerta y se eduquen sobre los riesgos más recientes.