Allarme CAPTCHA: la nuova trappola dei cybercriminali

L'articolo esplora come i criminali informatici utilizzano CAPTCHA dannosi per installare software di furto sui computer delle vittime, raccogliendo dati sensibili come email, password, indirizzi e informazioni finanziarie. Esamini vari metodi di attacco, tra cui watering hole attacks, abuso di annunci e SEO poisoning, e fornisca consigli pratici per proteggersi da queste minacce sofisticate.

 

Ricercatori di sicurezza globali hanno osservato l'uso di CAPTCHA maligni come mezzo per installare stealer sui computer delle vittime, raccogliendo dati preziosi come email, password, indirizzi e informazioni finanziarie. Gli attacchi condotti includono attacchi watering hole, malvertising e SEO poisoning.


I CAPTCHA malevoli vengono utilizzati in diverse tipologie di campagne malware, solitamente progettate per colpire specifici dati demografici. Ad esempio, file PDF apparentemente contenenti istruzioni per l'uso o l'installazione di trucchi nei videogiochi vengono distribuiti ai giocatori tramite SEO poisoning o avvelenamento di dati. Questa tecnica consente al malware di diffondersi attraverso Google e altri motori di ricerca, tramite descrizioni di video di YouTube e didascalie di TikTok, e tramite librerie PDF online. Questi CAPTCHA sono apparsi anche su siti web reali e legittimi dopo la compromissione da parte di hacker tramite una tipologia di attacchi denominati watering hole.


Come funziona l'attacco
Questo vettore di attacco può essere trovato in qualsiasi momento mentre si naviga su internet, ad esempio tramite pubblicità, risultati di motori di ricerca maligni, social media, attacchi watering hole e tentativi di phishing. Attraverso il SEO poisoning, ci si può imbattere in questo attacco utilizzando motori di ricerca come Google, Bing e Yahoo. I risultati dei motori di ricerca possono mostrare un file PDF caricato su siti web legittimi come WebFlow o da librerie PDF indicizzate. In alternativa, i siti web sono stati compromessi per mostrare questo CAPTCHA maligno tramite attacchi watering hole, sostituendo il contenuto originario.

 

Cos'è un CAPTCHA?
Secondo la Carnegie Mellon University, un CAPTCHA (abbreviazione di "Completely Automated Public Turing Test To Tell Computers and Humans Apart") è un tipo di test sfida-risposta utilizzato nell'informatica per determinare se l'utente è umano al fine di scoraggiare attacchi bot e spam.

 

Il CAPTCHA visualizzato risulta molto simile a quelli presenti su molti altri siti web, tuttavia include alcune istruzioni che possono cogliere alla sprovvista l’utente. Anzitutto l'utente finale vede una casella di controllo, con istruzioni per procedere con la verifica. Questa è una pratica comune e non è quindi detto che susciti dei sospetti, tuttavia, una volta contrassegnata la casella di controllo, il CAPTCHA passa a fornire alcune istruzioni aggiuntive che sono atipiche per questo tipo di verifica umana:

 



Figura 1: Esempio di CAPTCHA inserito in un sito compromesso tramite attacco watering hole preso dalla University of Michigan e modificato.

Le istruzioni possono far scattare un campanello d'allarme in alcuni utenti ma certamente non in tutti, tanto che questa tecnica è riuscita a provocare l'infezione di innumerevoli dispositivi. Quando una vittima interagisce con la finestrella del CAPTCHA, viene copiata negli appunti del pc una stringa di codice malevolo che include un pericoloso comando PowerShell. Il comando istruisce il dispositivo dell'utente a scaricare file dannoso, spesso in formato immagine, audio o video, che gli antivirus non scansionano per rilevare codice malevolo, permettendo ai truffatori di nascondervi il malware.

 



Figura 2: Esempio dell'interfaccia della finestra Esegui, aperta usando Win + R, dove è possibile utilizzare PowerShell e altri linguaggi di scripting.


L'interfaccia della finestra "Esegui", aperta utilizzando Win + R sui dispositivi Windows, ha una piccola casella per l'inserimento di testo. Gli utenti che incollano i loro appunti nella casella di testo potrebbero ancora non conoscere il contenuto della stringa, poiché verrà visualizzata solo la fine della stringa. La stringa può chiudersi con una frase innocua come "Non sono un robot", formattata come un commento per non invalidare il resto del codice, ma a sinistra di questo e inizialmente invisibile all'utente c'è un comando per scaricare ed eseguire malware da un host remoto.

 



Figura 3: Esempio di script dannoso copiato negli appunti e che, una volta eseguito, scaricherà una copia dello stealer Lumma in formato audio .m4a file.
Questo file audio non riprodurrà alcun audio ma verrà utilizzato per eseguire del codice dannoso sul pc della vittima. Schermata presa da Netskope Threat Lab. (Taken 06/03/2025)

Esistono tecniche simili in cui il CAPTCHA è incorporato in file PDF scaricati da internet, ad esempio tramite Google o tramite librerie PDF. Possono anche essere distribuiti anche via email, ma in questo caso è più difficile ingannare l’utente, che difficilmente si aspetta un controllo CAPTCHA in un file locale.
Se il file viene invece visualizzato dal browser, allora l’inganno può funzionare meglio, perché i CAPTCHA visualizzati all'interno della finestra del browser hanno molte più probabilità di ingannare l'utente finale a seguire le istruzioni.

Il risultato finale differisce notevolmente a seconda del tipo di malware installato. Le vittime riferiscono di aver ricevuto avvisi dopo che il loro computer ha bloccato automaticamente alcune connessioni di rete e di aver visto i loro browser riportati automaticamente a versioni non ufficiali compatibili con il malware installato. L'output di questi stealer include rapporti completi delle sessioni di cookie della vittima, nomi utente salvati, email, password, indirizzi e dettagli finanziari, nonché l'accesso ai portafogli di criptovalute basati su plugin del browser.

Come proteggersi
Sebbene possa sembrare semplice evitare questo tipo di attacco, siamo tutti vulnerabili all'errore umano: potrebbe distrarsi, abbassare la guardia, non pensare di essere un possibile bersaglio. Chiunque può cadere vittima di questi attacchi, per quanto semplici possano sembrare.

Ecco alcuni punti suggerimento per proteggersi da un attacco basato su CAPTCHA:

  • Un CAPTCHA legittimo non le chiederà mai di utilizzare la finestra Esegui per qualsiasi scopo.
  • Se vede un controllo CAPTCHA su un sito web o un'applicazione in cui non se lo aspetta, controlli due volte: anche i siti web legittimi possono essere compromessi dagli hacker.
  • Utilizzi un password manager sicuro e attivi l'autenticazione a più fattori (MFA) per gestire e proteggere le sue password.
  • Pratichi una buona igiene informatica e presti attenzione mentre naviga.
    "Ho eseguito un comando nella finestra del programma Esegui e il mio computer è stato hackerato, cosa devo fare?"


Se ritiene che le sue informazioni finanziarie possano essere state accessibili, consideri di bloccare le sue carte e l'online banking. I suoi account online potrebbero anche essere stati compromessi e dovrebbe tenere presente che l'attività sul suo PC potrebbe essere monitorata. Pertanto, su un dispositivo separato, se possibile, provi a modificare le sue password dando la priorità agli account finanziari e ai provider di posta elettronica.

Se scopre che i suoi account sono stati rubati e le credenziali modificate, dovrà contattare il team di supporto di quel sito web o applicazione per far correggere la modifica.

Può garantire la sicurezza del suo computer eseguendo il backup dei file importanti tramite il cloud o tramite un'unità fisica e installando un'istanza pulita del suo sistema operativo. Si assicuri che tutti i file di cui esegue il backup vengano scansionati per assicurarle che il malware non si incorpori all'interno di altri file sul suo dispositivo. Tenga presente che le nuove partizioni del sistema operativo possono comunque essere reinfettate da quelle vecchie rimaste sul dispositivo.


Conclusione
Gli attacchi CAPTCHA hanno successo perché molte vittime sono male informate sul panorama delle minacce odierno e a causa dell'errore umano. Speriamo che questo articolo abbia fatto luce su questo nuovo vettore di attacco informatico e che questa conoscenza la aiuti a proteggersi da tali attacchi in futuro. Tuttavia, dobbiamo anche ribadire l'importanza della sua vigilanza. Che si tratti di CAPTCHA o di qualche altra tecnologia, è facile mettersi comodi e dimenticare di eseguire i soliti controlli di sicurezza e legittimità, ed è così che attacchi così semplici continuano a mietere vittime.


Vuole avere una protezione in più? Scelga Sicurnet, il servizio di MyCRIFData che monitora i suoi dati e la aiuta a sapere se sono finiti nelle mani dei cybercriminali (anche nel Dark Web) e le fornisce un’assistenza in caso di bisogno!