CAPTCHAs falsos

26/11/2024 mindsecblog Notícias 0

CAPTCHAs falsos: entenda a técnica usada por criminosos para roubar dados pessoais de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas

O Brasil é alvo de uma campanha criminosa que usa o envio de CAPTCHAs falsos para induzir vítimas a baixarem malwares e outros arquivos maliciosos que, uma vez instalados nas máquinas, passam a ter acesso a todas suas pastas, com endereços de e-mail e credenciais. É o que revela um boletim da ISH Tecnologia, referência nacional em cibersegurança.

Os CAPTCHAs são um tipo de medida de segurança que serve para distinguir seres humanos de robôs e outras aplicações digitais. Ele utiliza a autenticação por desafio e resposta – como nos exemplos em que um site pede para o usuário clicar em determinado local para confirmar que é um humano. Nesse caso, a execução do CAPTCHA falso engana os usuários e os leva a executar scripts maliciosos que escapam da detecção, resultando na instalação do malware.

De acordo com o levantamento da ISH, os métodos de operação dos criminosos exploram comportamentos comuns dos usuários, como o download de softwares maliciosos e a resposta a e-mails de phishing para distribuir artefatos como o Lumma Stealer, que é o mais comum na campanha detectada.

A ISH identificou a hospedagem de diversas páginas e domínios voltadas às atividades maliciosas, frequentemente com arquivos HTML, que devem ser evitados pelos usuários:

https[:]//idproof.b-cdn[.]net/recaptcha-nov5.html

verify-check.html

captcha-check.html

recaptcha-nov5.html

recaptcha-nov1.html

recaptcha-nov2.html

Os exemplos abaixo mostram um tipo de CAPTCHA falso, e a tela a qual o usuário é redirecionado após executá-lo. Caso ele realize o que está indicado, um comando é automaticamente copiado para a área de transferência de sua máquina, e começa a propagação do ataque, realizando o download de arquivos maliciosos através de ferramentas nativas do Sistema Operacional. Nesta campanha, foi identificado a utilização de malwares do tipo Stealer, os quais possuem o foco de realizar o roubo de dados e informações dos dispositivos da vítima.

Exemplo de CAPTCHA malicioso

Orientações recebidas pelo usuário após a execução do CAPTCHA malicioso

Uma vez baixado, o malware passa a ter a capacidade de acessar todas as pastas do sistema operacional, o que inclui navegadores utilizados pela vítima, e-mails enviados e recebidos, pastas pessoais, entre outros. Após a coleta das informações que os criminosos julgam interessantes, o malware realiza o envio dos materiais para um domínio de um terceiro, que armazena tudo o que foi roubado.

O relatório da ISH também apontou que o software baixado traz componentes maliciosos adicionais, o que dificulta sua detecção e remoção. Embora atualmente essa técnica seja usada para distribuir, principalmente, o stealer conhecido como Lumma, ela pode facilmente ser adaptada para propagar outros tipos de ameaça.

Recomendações

Ataques como o descrito requerem a participação ativa da vítima, seja clicando no link falso ou executando, mesmo que sem a intenção, um código malicioso em sua máquina. Por conta disso, a ISH Tecnologia traz algumas dicas de proteção que devem ser seguidas por usuários e empresas:
Promova treinamentos frequentes para os usuários – foque na conscientização sobre phishing e técnicas de engenharia social;
Limite os privilégios dos usuários e segmente a rede para minimizar o impacto de uma possível infecção;
Monitore e bloqueie domínios suspeitos, como o b-cdn.net, além de outros que tenham histórico de uso em campanhas maliciosas;
Realize o monitoramento contínuo do tráfego de rede e análise de logs para identificar comportamentos suspeitos, como acessos repetidos a páginas de CAPTCHA ou execuções de scripts incomuns;
Atualize continuamente os IoCs, como domínios, IPs e URLs associados ao malware Lumma Stealer e outras ameaças relacionadas.