Páginas de CAPTCHA falsas utilizadas para propagar malware ladrón de información.
Dos servicios legítimos están siendo mal utilizados para la distribución de infostealers.
Investigadores de seguridad han detectado una iniciativa maliciosa destinada a propagar el malware Lumma Stealer, que utiliza páginas CAPTCHA falsas para engañar a los usuarios. Estos sitios generan un mensaje falso que solicita a los visitantes resolver un CAPTCHA mediante una acción que implica copiar un código dañino al portapapeles y ejecutar un comando en CMD.
Este descubrimiento, realizado por Guardio Labs, revela una operación conocida como “DeceptionAds”, que tiene como objetivo a millones de individuos. La campaña se apoya en dos servicios legítimos: la red publicitaria Monetag y la plataforma de seguimiento de rendimiento basada en la nube BeMob. Comienza con anuncios fraudulentos que hacen eco de las preferencias del público de los sitios web anfitriones, incluyendo ofertas engañosas, descargas o servicios relacionados, con énfasis en plataformas de streaming pirateadas y software.
Al hacer clic en el anuncio, la víctima es redirigida a una página CAPTCHA falsa a través del servicio de encubrimiento de BeMob. Este enfoque complica la moderación, dado que BeMob es un servicio legítimo que no es bloqueado por defecto de la red de Monetag. Según Nati Tal, director de Guardio Labs, "los atacantes utilizaron una URL inofensiva de BeMob en vez de la página falsa del CAPTCHA, aprovechando la reputación de BeMob y dificultando los esfuerzos de moderación de contenido de Monetag".
La página CAPTCHA incluye un código JavaScript que copia un comando de PowerShell malicioso al portapapeles. No obstante, la víctima debe pegar este código en el CMD y ejecutarlo, lo que constituye la "solución" al CAPTCHA. Al hacerlo, el comando se ejecuta, descargando y ejecutando Lumma Stealer, un infostealer común en la comunidad subterránea de cibercriminales.
Este software malicioso es capaz de robar una variedad de información sensible, que abarca desde billeteras de criptomonedas y datos de navegadores hasta credenciales de correo electrónico, información financiera, datos de clientes FTP y detalles del sistema. Tras ser informadas sobre la campaña, tanto Monetag como BeMob actuaron. Monetag eliminó 200 cuentas, mientras que BeMob concluyó la campaña en un periodo de cuatro días.
