Autor: Yashvi Shah y Aayush Tyagi Resumen ejecutivo McAfee Labs observó recientemente una cadena de infección en la que se utilizan páginas CAPTCHA falsas para distribuir malware, específicamente Lumma Stealer. Estamos observando una campaña dirigida a varios países. A continuación, se muestra un mapa que muestra la geolocalización de los dispositivos que acceden a las URL CAPTCHA falsas, lo que destaca la distribución global del ataque. Figura 1: Prevalencia en el campo Identificamos dos vectores de infección que llevan a los usuarios a estas páginas CAPTCHA falsas: uno a través de URL de descarga de juegos pirateadas y el otro a través de correos electrónicos de phishing. Los usuarios de GitHub han sido objeto de correos electrónicos de phishing que los incitan a abordar una «vulnerabilidad de seguridad» ficticia en un repositorio de proyectos al que han contribuido o al que se han suscrito. Estos correos electrónicos dirigen a los usuarios a visitar «github-scanner[.]com” para obtener más información sobre el supuesto problema de seguridad. La cadena de infección de ClickFix funciona engañando a los usuarios para que hagan clic en botones como «Verifique que es un humano» o «No soy un robot». Una vez que se hace clic, se copia un script malicioso en el portapapeles del usuario. Luego, se engaña a los usuarios para que peguen el script después de presionar la tecla Windows + R, ejecutando el malware sin saberlo. Este método de engaño facilita el proceso de infección, lo que facilita que los atacantes implementen malware. Figura 2: Vectores de ataque de la cadena de infección y análisis técnico Como se ilustra en el diagrama, los usuarios son redirigidos a páginas CAPTCHA falsas a través de dos vectores de ataque principales: 1. URL de descarga de software de juegos pirateados: los usuarios que intentan descargar versiones pirateadas o pirateadas de software de juegos son redirigidos a páginas CAPTCHA maliciosas. Figura 3: Búsqueda para descargar la versión pirateada del juego Cuando los usuarios buscan en Internet versiones gratuitas o pirateadas de videojuegos populares, pueden encontrar foros en línea, publicaciones de la comunidad o repositorios públicos que los redirigen a enlaces maliciosos. Figura 4: Runkit dirige al usuario a descargar el juego En este caso, un notebook público de Runkit aloja el enlace malicioso (resaltado en azul). Cuando el usuario accede a la URL (resaltada en rojo), se lo redirige a sitios web CAPTCHA falsos. Figura 5: Redirección que ocurre mientras se accede al enlace En esta página, después de que el usuario hace clic en el botón «No soy un robot», se copia un script de PowerShell malicioso en su portapapeles y se le solicita que lo ejecute. Figura 6: Script de backend en el botón de clic El sitio web incluye una funcionalidad de JavaScript que copia el script en el portapapeles. Figura 7: Script decodificado El script está codificado en Base64 (resaltado en azul), para reducir la legibilidad para el usuario. Al decodificarlo (resaltado en rojo), se descubrió que se aprovechó mshta. El archivo está alojado en https://verif.dlvideosfre[.]click/2ndhsoru contiene un binario de Windows, con secuencias de comandos adjuntas como superposición. Sin la superposición adjunta, el archivo es un binario de Windows limpio. Figura 8: binario de Windows con secuencia de comandos adjunta La utilidad mshta busca la
