Los investigadores de seguridad han advertido durante mucho tiempo que las páginas falsas de autenticación humana pueden engañar a los usuarios de Windows para que instalen malware accidentalmente. Una campaña recientemente expuesta reveló cómo algunos usuarios acabaron visitando estas páginas.
Cuidado con las páginas falsas de autenticación humana
A finales de agosto de 2024, la Unidad 42 de Palo Alto Networks descubrió siete páginas de autenticación humana estilo CAPTCHA que no eran lo que parecían.
“Estas páginas tienen un botón que, al hacer clic, proporciona instrucciones para que la víctima pegue un script de PowerShell en la ventana Ejecutar. Este script de copiar y pegar de PowerShell es una copia del EXE de Windows del malware Lumma Stealer. Consíguelo y ejecútalo”. explica el cazador de amenazas Paul Michaud II de Unti 42.
Proceso de infección (Fuente: Unidad 42 del PAN)
Recientemente, los investigadores de CloudSEC identificaron páginas activas adicionales alojadas en varios proveedores y que utilizan redes de distribución de contenido que todavía están difundiendo Lumma Stealer.
“Los scripts de PowerShell se copian al portapapeles haciendo clic en el botón (no soy un robot)”, explicaron.
“Cuando un usuario pega un comando de PowerShell en el cuadro de diálogo (Ejecutar), PowerShell se ejecuta en una ventana oculta y ejecuta el comando codificado en Base64 (powershell -w oculto -eC)”.
Una vez decodificado, el comando recupera el contenido de un archivo de texto alojado en un servidor remoto. Este archivo contiene comandos adicionales para descargar y ejecutar Lumma Stealer.
“Cuando el archivo descargado (dengo.zip) se descomprime y se ejecuta en una máquina con Windows, Lumma Stealer se vuelve operativo y establece una conexión con un dominio controlado por el atacante”, concluyeron los investigadores, y esta página señaló que el malware distribuido a través de el servicio se puede modificar fácilmente.
¿Cómo se dirigirá su público objetivo a estas páginas?
El investigador de seguridad Ax Sharma se enteró recientemente de que recibió una alerta por correo electrónico de un servidor legítimo de GitHub que apuntaba a una página de verificación humana falsa.
Después de investigar el problema, descubrió que el vendedor de malware había publicado un “problema” en un repositorio de código abierto en GitHub, afirmando que el proyecto tenía “vulnerabilidades de seguridad”.
Esta acción envió alertas por correo electrónico idénticas a los carteles y suscriptores de estos repositorios.
La alerta por correo electrónico proviene de los servidores de GitHub, está firmada por el equipo de seguridad de GitHub y apunta al dominio github-scanner(.)com, que no pertenece ni es utilizado por GitHub. Una página de verificación humana falsa espera allí y entrega el troyano a víctimas potenciales.
Los usuarios deben ser conscientes de estas tácticas y estar preparados para enfrentar otras campañas de “cebo”. El mismo truco de copiar y ejecutar un script de PowerShell se utilizó anteriormente en una campaña ClearFake documentada por investigadores de Proofpoint.
Windows users targeted with fake human verification pages delivering malware
