I hacker hanno utilizzato pagine CAPTCHA false per diffondere malware su Windows

Come gli aggressori usano pagine CAPTCHA false

Nuovi ricercatori hanno scoperto una vulnerabilità che permette ai hacker di ingannare gli utenti Windows e costringerli a eseguire uno script PowerShell dannoso. Lo script, chiamato Stealthy StealC Information Stealer, rubba dati dal browser, password per portafogli di criptovalute, account Steam e Outlook, e poi invia tutto insieme a screenshot al server di controllo.

Cosa succede durante l’attacco?
1. Pagine CAPTCHA false

Gli hacker pubblicano un’interfaccia di verifica falsa che sembra una normale pagina con CAPTCHA. Su queste pagine l’utente vede la “richiesta” di premere la combinazione di tasti Windows + R (aprire la finestra Esegui) e poi Ctrl + V (incolla dal buffer).

2. Avvio di PowerShell dal buffer

Il buffer degli appunti è già stato caricato con uno script PowerShell eseguibile. L’utente, seguendo le istruzioni, lo avvia manualmente senza sospettare la natura dannosa del comando.

3. Download e diffusione del codice

Dopo l’avvio, lo script si connette a un server remoto e scarica ulteriore codice malevolo. Il traffico è cifrato con il protocollo RC4, rendendo difficile la sua rilevazione con i metodi di sicurezza standard.

Perché è pericoloso?
- Evitamento delle protezioni tradizionali – i meccanismi comuni di blocco del download dei file potrebbero non funzionare, poiché lo script è già in esecuzione nel sistema.

- Ampia gamma di dati rubati – dalle password del browser alle chiavi di criptovalute e agli account di servizi popolari.

- Invisibilità per l’utente – l’azione appare come una normale verifica di sicurezza, non come l’avvio di software dannoso.

Come proteggersi?
Misura | Cosa fa
---|---
Limitare l’utilizzo di PowerShell | Impostare politiche che vietano l’esecuzione di script senza firma.
Controllo delle applicazioni Windows | Attivare AppLocker o un sistema simile di controllo dell’esecuzione dei programmi.
Monitoraggio del traffico in uscita | Rilevare connessioni sospette (ad es. traffico HTTP cifrato con RC4) e bloccarle.

Seguendo queste raccomandazioni, è possibile ridurre significativamente il rischio che un utente diventi vittima di tale attacco.