Da qualche tempo sta circolando un nuovo tipo di truffa online che sfrutta la diffusione dei CAPTCHA, quei test che ci chiedono di dimostrare di essere umani ricopiando lettere e numeri distorti. Li troviamo ovunque sul web, usati per impedire l’accesso ai bot, ma purtroppo qualcuno ha pensato bene di sfruttarli per scopi meno nobili.
Questo attacco, che sta colpendo in particolare gli utenti Windows, si è diffuso in diversi Paesi tra cui Brasile, Russia, Spagna e, purtroppo, anche in Italia. Secondo le analisi di Kaspersky, le vittime sarebbero già decine di migliaia, con i gamer tra i bersagli principali. Purtroppo, anche io ci sono incappato: mi hanno attaccato, ma per fortuna non ci sono cascato.
Come funziona l’inganno?
Il meccanismo della truffa è subdolo ma efficace:
- Un banner sospetto – Navigando su un sito di gaming, alcuni utenti vedono comparire un banner a tutto schermo. Basta un clic, anche involontario, per cadere nella trappola.
- Il falso CAPTCHA – Dopo il clic, si viene reindirizzati a una pagina che sembra contenere un normale test CAPTCHA.
- Il comando nascosto – Cliccando su “Non sono un robot”, negli appunti del computer viene copiato automaticamente un comando PowerShell criptato.
- Il passo fatale – La pagina chiede all’utente di incollare il comando in una cartella del PC e di premere Invio. A questo punto il danno è fatto: si installa Lumma, uno stealer, ovvero un malware progettato per rubare criptovalute, password e dati personali. Nel frattempo, il malware analizza il computer alla ricerca di file relativi alle criptovalute, cookie, dati dei password manager e altre informazioni sensibili. Inoltre, visita automaticamente pagine web di piattaforme di e-commerce per aumentare le visualizzazioni e generare profitti per gli hacker.
Le nuove varianti dell’attacco
Kaspersky ha identificato una nuova versione dell’attacco, che non utilizza più il finto CAPTCHA ma un messaggio di errore molto simile a quelli di Google Chrome. In questa variante, l’utente viene invitato a “copiare la correzione” nella finestra del terminale del computer, ma il comando è lo stesso PowerShell dannoso.
Non sono più solo i gamer ad essere presi di mira: questi attacchi si stanno diffondendo attraverso servizi di file-sharing, applicazioni web, bookmaker online, pagine di contenuti per adulti e persino community di appassionati di anime. Gli hacker stanno inoltre utilizzando il Trojan Amadey, che funziona in modo simile a Lumma, ma con capacità aggiuntive come il furto di credenziali dai browser, l’acquisizione di screenshot e il controllo remoto del dispositivo infetto.
Come proteggersi?
Fortunatamente, evitare questa truffa è possibile con un po’ di attenzione:
- Se un sito di gaming (o qualsiasi altro) ti chiede di incollare comandi nel terminale di Windows, non farlo mai!
- Diffida dai CAPTCHA che appaiono in modo insolito, specie se a pagina intera.
- Presta attenzione ai messaggi di errore che ti invitano a copiare e incollare comandi nel terminale.
- Usa un buon antivirus aggiornato, che può rilevare attività sospette.
- Se pensi di essere stato colpito, cambia subito le password e controlla i tuoi account.
I truffatori trovano sempre modi nuovi per ingannare gli utenti, ma con un po’ di prudenza possiamo evitare brutte sorprese. Condividi queste informazioni con chi potrebbe essere a rischio!
Antonio Cesario