False pagine CAPTCHA sfruttate per diffondere infostealer

I ricercatori di Guardio Labs hanno fatto una scoperta a dir poco inquietante.

Una campagna malware, chiamata DeceptionAds, ha preso di mira milioni di persone attraverso false pagine CAPTCHA. L’attacco, attuato dal gruppo noto come Vane Viper, aveva come obiettivo quello di portare l’ignara vittima a installare sul dispositivo il temibile Lumma Stealer.

Per attuare il loro piano, i cybercriminali hanno abusato di due servizi legittimi: Monetag (una rete pubblicitaria) e BeMob (piattaforma di monitoraggio delle prestazioni basata su cloud). La campagna ha visto la promozione di annunci fittizi, attraverso cui venivano proposti alle potenziali vittime diversi servizi, dallo streaming a software di vario tipo.

Una volta ottenuto il clic sull’annuncio, gli utenti venivano indirizzati verso una falsa pagina CAPTCHA, sfruttando il servizio di cloaking offerto da BeMob. Quest’ultimo passaggio rendeva la campagna “invisibile” in quanto BeMob viene giustamente considerato dagli strumenti come un servizio del tutto legittimo.

Vane Viper: false pagine CAPTCHA e abuso di due piattaforme legittime per diffondere il temibile Lumma Stealer

Nella pagina CAPTCHA incriminata era integrato del codice JavaScript che copia un comando PowerShell dannoso di una riga negli appunti. A questo punto, l’utente doveva essere spinto a copiare e incollare il codice affinché l’infezione risultasse effettiva.

Proponendo il copia-incolla come un puzzle tipico dei sistemi CAPTCHA, i criminali informatici sono riusciti ad aggirare questo ostacolo. Tutta questa procedura aveva come obiettivo di portare al download, e alla conseguente installazione, del suddetto infostealer. Una volta informate dell’accaduto, le due piattaforme coinvolte loro malgrado sono intervenute, con Monetag che ha rimosso ben 200 account coinvolti con l’operazione.

Lumma Stealer è una gente malevolo ben noto agli esperti di sicurezza. Si tratta di un malware in grado di rubare svariate informazioni sensibili: dai dati del browser fino agli accessi ai wallet di criptovalute, incluse anche le credenziali della posta elettronica.