Una nueva ola de ciberataques está afectando a miles de usuarios a través de un CAPTCHA falso en Windows. Los delincuentes informáticos han ido perfeccionado sus métodos, disfrazando código malicioso detrás de las supuestas verificaciones de seguridad visuales que parecen completamente legítimas.
Tal y como mencionan los expertos, esta técnica aprovecha scripts oficiales de Microsoft para ejecutar malware (código malicioso) sin levantar sospechas frente al usuario. Este nuevo engaño está tan bien diseñado, que hasta incluso, usuarios experimentados pueden caer en la trampa con un simple clic.
Nuevo ataque ClickFix con CAPTCHA falso en Windows
La firma de ciberseguridad BlackPoint Cyber ha detectado una nueva campaña que utiliza una versión modificada del ataque ClickFix. Este método se encarga de inyectar el malware Amatera en los sistemas, abusando así del script legítimo SyncAppvPublishingServer.vbs de Microsoft App-V.
Este script, que esta firmado oficialmente, permite lanzar PowerShell mediante componentes de confianza del sistema operativo Windows. Los atacantes aprovechan esta acción para ejecutar código malicioso sin dejar rastro visible en el disco.
Los hackers están usando mecanismos legítimos de Windows para ejecutar malware sin detección. Es una técnica que eleva el nivel de sofisticación de los ataques, advirtió BlackPoint Cyber en su informe.
Páginas falsas y comandos manuales
El proceso de infección del código comienza cuando la víctima accede a una página que muestra un CAPTCHA falso en Windows, luego le solicita a los usuarios escribir un comando en el cuadro de diálogo Ejecutar. Error, este supuesto paso de verificación es, en realidad, la activación manual del malware.
El código malicioso se encarga de verificar si el comando fue introducido manualmente, esta acción le permitirá evitar los entornos de análisis automatizados. Pero lo más preocupante es que si el código detecta una ejecución controlada, el script entra en un bucle infinito o cancela la carga para no ser descubierto.
Carga oculta mediante PowerShell y esteganografía
Una vez que se activa, el script descarga datos cifrados desde un calendario público de Google, codificados en Base64. Luego, inicia procesos ocultos de PowerShell mediante el sistema WMI (Windows Management Instrumentation).
Parte del malware se esconde detrás de las imágenes PNG -una técnica llamada esteganografía-. Dichas imágenes se descargan desde servidores públicos, se descifran y se ejecutan directamente en memoria, sin dejar ningún archivos visibles en el equipo.
Malware como servicio: Amatera evoluciona
El malware Amatera se activa en la fase final del ataque; se encarga de extraer las contraseñas guardadas, historial de navegación y credenciales del sistema. Asimismo, se conecta a servidores remotos para descargar módulos adicionales.
Según informan los investigadores, Amatera es una evolución del malware ACR y que actualmente se distribuye como malware como servicio, disponible para otros ciberdelincuentes que pagan por su uso.
Cómo protegerte del CAPTCHA falso en Windows
Los expertos recomiendan aplicar varias medidas de prevención:
- Restringir el acceso al cuadro Ejecutar mediante directivas de grupo.
- Habilitar el registro de PowerShell para detectar scripts sospechosos.
- Eliminar componentes innecesarios de App-V si no se utilizan.
- Supervisar conexiones de red para detectar diferencias entre nombres de host y direcciones IP reales.
Cada una de estas acciones reduce significativamente el riesgo de infección por campañas que usan un CAPTCHA falso en Windows.