A Kaspersky identificou uma nova vaga de uma campanha maliciosa, que se propaga através de anúncios digitais e visa os utilizadores de PC com Windows. Ao clicar inadvertidamente numa publicidade que cobre todo o ecrã, os utilizadores são redireccionados para uma página com um falso CAPTCHA ou uma mensagem de erro falsa do Chrome, que levam à transferência de malware stealers.
Em Setembro e Outubro de 2024, a telemetria da Kaspersky registou mais de 140 mil interacções com este tipo de anúncios, e mais de 20 mil utilizadores foram redireccionados para páginas falsas que alojam scripts maliciosos. Na maioria das vezes, os utilizadores provinham do Brasil, Espanha, Itália e Rússia.
Um CAPTCHA é uma funcionalidade de segurança utilizada em websites e aplicações para verificar se um utilizador é humano, um programa automatizado ou um bot. No início deste ano, foram registados relatos de cibercriminosos que estavam a distribuir o malware stealer Lumma através de CAPTCHA falsos, visando principalmente gamers.
Ao navegar em sites de jogos, os utilizadores eram induzidos a clicar num anúncio que cobria todo o ecrã, sendo redireccionados para uma página CAPTCHA falsa com instruções que os levava a descarregar o stealer. Quando clicavam no botão’ I’m not a robot’, um comando codificado do Windows PowerShell era copiado para a área de transferência do PC. Os utilizadores eram então convidados a colar este comando na linha de comando do browser e a carregar no ‘Enter’, transferindo e iniciando inadvertidamente o Lumma. O malware procurava ficheiros relacionados com criptomoedas, cookies e dados do gestor de senhas no dispositivo da vítima, além de visitar várias plataformas de comércio electrónico, aumentando a sua contagem de visualizações e dando aos atacantes um ganho financeiro adicional.
Na vaga de ataques agora observada, os investigadores da Kaspersky identificaram um novo cenário de ataque. Neste, em vez de um CAPTCHA falso, é apresentada uma mensagem de erro de uma página web, estilizada para parecer uma mensagem de serviço do navegador Chrome. Os atacantes instruem, então, o utilizador a “copiar a correcção”, que consiste no mesmo comando malicioso do PowerShell descrito acima, para a linha de comando do browser.
A Kaspersky descobriu, igualmente, que esta nova vaga de ataques visa não só os jogadores, mas, também, outros grupos de utilizadores, sendo que é distribuída através de serviços de partilha de ficheiros, aplicações web, portais de apostas, páginas de conteúdos para adultos, comunidades de animé e outros canais. Estes cibercriminosos utilizam também o trojan Amadey, que, à semelhança do stealer Lumma, rouba credenciais de navegadores populares e carteiras de criptomoedas. Além disso, é capaz de capturar imagens do ecrã, obter credenciais para serviços de acesso remoto e descarregar uma ferramenta de acesso remoto para o dispositivo da vítima, permitindo que os atacantes tenham controlo total.
«Os atacantes compraram espaços de publicidade online, redireccionando os utilizadores que clicam nos anúncios para recursos maliciosos. Embora esta seja uma táctica comum, a nova vaga desta campanha envolve uma rede de distribuição significativamente alargada e a introdução de um novo cenário de ataque, que atinge mais vítimas. Agora, os utilizadores podem ser enganados por falsos CAPTCHA ou mensagens de erro do Chrome, tornando-se vítimas de um stealer com novas funcionalidades. Tanto as empresas, como os indivíduos devem manter-se vigilantes e pensar criteriosamente antes de seguirem solicitações online suspeitas», afirma Vasily Kolesnikov, especialista em Segurança da Kaspersky.