I cybercriminali hanno molte risorse e sono ingegnosi. Trovano sempre nuovi modi per attirare nelle loro trappole gli utenti.
Kaspersky ha scoperto una nuova campagna malevola, diffusa attraverso annunci web e rivolta agli utenti Windows. Durante la navigazione, gli utenti possono cliccare involontariamente su un annuncio che occupa l’intero schermo, reindirizzandoli a una falsa pagina CAPTCHA o a un falso messaggio di errore Chrome che li invita a seguire i passaggi per scaricare gli stealer. Kaspersky ha registrato oltre 140.000 contatti con questi annunci dannosi nei mesi di settembre e ottobre 2024, e più di 20.000 utenti sono stati reindirizzati a pagine false che contenevano script dannosi. Si tratta prevalentemente di utenti provenienti da Brasile, Spagna, Italia e Russia. Gli esperti consigliano di essere prudenti e di evitare richieste di azione online sospette.
Falsi CAPTCHA sui siti di gaming
Un CAPTCHA è una funzione di sicurezza utilizzata all’interno di siti web e app per verificare se si tratta di un utente reale, un programma automatico oppure un bot. All’inizio di quest’anno sono stati segnalati attacchi che hanno distribuito lo stealer Lumma, utilizzando CAPTCHA falsi, soprattutto per colpire i gamer. Navigando sui siti di gaming, gli utenti venivano indotti a cliccare un banner che copriva l’intero schermo per poi essere reindirizzati a una falsa pagina CAPTCHA con un messaggio di istruzioni per scaricare lo stealer. Una volta cliccato Non sono un robot, un comando PowerShell criptato di Windows veniva copiato direttamente negli appunti del PC e successivamente veniva richiesto di incollarlo nella cartella del computer e premere invio, scaricando e avviando involontariamente Lumma. Nel frattempo, il malware ha cercato file relativi alle criptovalute, cookie e dati del password manager della vittima. Inoltre, ha visitato le pagine web di varie piattaforme di e-commerce, aumentando così il numero di visualizzazioni e garantendo agli hacker un ulteriore guadagno economico.
Un falso CAPTCHA con istruzioni pericolose
Il messaggio di errore di Chrome
In questa nuova ondata di attacchi, i ricercatori Kaspersky hanno identificato un altro schema dove, al posto di un CAPTCHA, compare un messaggio di errore in una pagina web con uno stile simile quello dei messaggi di servizio di Chrome. Gli hacker invitano l’utente a “copiare la correzione” nella finestra del computer (si tratta dello stesso comando PowerShell descritto precedentemente).
Un messaggio falso che imita messaggi di Google Chrome
Kaspersky ha scoperto che la nuova ondata di attacchi non prende di mira solo i gamer, ma anche altri soggetti, ed è distribuita attraverso servizi di file-sharing, applicazioni web, portali di bookmaker, pagine di contenuti per adulti, community di utenti appassionati di anime e altri canali. Gli aggressori utilizzano anche il Trojan Amadey che, come Lumma, ruba le credenziali dai browser più utilizzati e dai portafogli di criptovalute, ma può anche catturare screenshot, ottenere credenziali per i servizi di accesso da remoto ottenendo l’autorizzazione ad accedere al dispositivo della vittima.
I consigli di Kaspersky
Per evitare le minacce relative agli stealer, Kaspersky consiglia di seguire le raccomandazioni riportate di seguito.
Aziende:
- Verificare che le credenziali dei dispositivi o delle Web app della propria azienda non siano state compromesse dagli aggressori sulla landing page Kaspersky Digital Footprint Intelligence;
- Utilizzare una soluzione di sicurezza dedicata come Kaspersky Endpoint Security for Business con controllo di app e Web; l’analisi del comportamento aiuta a rilevare rapidamente le attività malevole;
- Migliorare l’alfabetizzazione digitale dei propri dipendenti per ridurre al minimo i rischi di cyber attacchi, utilizzando uno strumento onlineche offra una formazione informatica completa.
Utenti:
- Installare una soluzione di sicurezza completa, come Kaspersky Premium, su tutti i dispositivi, per evitare di aprire pagine sospette o e-mail phishing;
- Utilizzare Kaspersky Password Managerper salvare le password in modo sicuro.
Il parere dell’esperto su falsi CAPTCHA e messaggi di errore di Chrome
“Gli hacker acquistano alcuni slot pubblicitari e se l’utente ci clicca sopra viene reindirizzato a risorse dannose. Questa campagna prevede una rete di distribuzione notevolmente amplificata e l’introduzione di un nuovo scenario di attacco che raggiunge un maggior numero di vittime. Ora gli utenti possono essere attirati da un falso CAPTCHA o da un messaggio di errore Google Chrome, diventando così vittime di uno stealer dotato di nuove funzionalità. Le aziende e gli utenti dovrebbero prestare attenzione e riflettere prima di eseguire qualsiasi richiesta sospetta che ricevono online”, ha affermato Vasily Kolesnikov, Security Expert di Kaspersky.