Captcha

Cibercriminosos estão utilizando páginas falsas de CAPTCHA para disseminar malware, explorando uma vulnerabilidade no Windows. O ataque envolve a clonagem de páginas de CAPTCHA legítimas, levando os usuários a baixar um software malicioso conhecido como Stealthy StealC Information Stealer. O método é particularmente insidioso, pois as vítimas são induzidas a executar comandos no teclado que instalam o malware sem que percebam. Após abrir a janela ‘Executar’ do Windows, os usuários são instruídos a colar um comando malicioso que, ao ser executado, carrega um script do PowerShell, permitindo a instalação do malware. O objetivo principal é roubar informações de login de serviços populares, como Outlook, Steam e carteiras de criptomoedas. Especialistas alertam que qualquer solicitação para executar comandos desconhecidos em páginas de CAPTCHA deve ser vista com desconfiança, pois pode resultar em comprometimento de dados pessoais. A proteção contra esse tipo de ataque envolve a conscientização sobre as instruções que podem ser solicitadas em páginas de segurança, evitando a execução de comandos desconhecidos.

Pesquisadores de cibersegurança revelaram uma nova campanha que combina CAPTCHAs falsos com um script assinado da Microsoft para distribuir um ladrão de informações chamado Amatera. O ataque começa com um prompt de verificação CAPTCHA falso que engana os usuários a colar e executar um comando malicioso no diálogo de execução do Windows. Em vez de invocar o PowerShell diretamente, o atacante utiliza o script ‘SyncAppvPublishingServer.vbs’, associado ao Microsoft Application Virtualization (App-V), para executar um carregador na memória a partir de um servidor externo. Essa técnica, que já foi observada em ataques anteriores, é usada para contornar restrições de execução do PowerShell, tornando a detecção mais difícil. O script malicioso busca dados de configuração em um arquivo de calendário público do Google, permitindo que o atacante ajuste rapidamente a infraestrutura sem precisar redistribuir as etapas anteriores do ataque. A campanha, que tem como alvo principalmente sistemas gerenciados por empresas, destaca a evolução das técnicas de engenharia social, como o ClickFix, que se tornou uma das principais formas de acesso inicial em ataques recentes. Com 47% dos ataques observados pela Microsoft utilizando essa técnica, a necessidade de vigilância e defesa eficaz se torna ainda mais crítica para as organizações.

Desde janeiro de 2025, a Trend Micro identificou um aumento significativo em campanhas de phishing que utilizam plataformas de desenvolvimento impulsionadas por IA, como Lovable.app, Netlify.app e Vercel.app, para hospedar páginas falsas de CAPTCHA. Os atacantes aproveitam os níveis gratuitos de hospedagem e a credibilidade dessas plataformas para criar armadilhas sofisticadas que conseguem evitar a detecção de scanners automáticos. Os e-mails de phishing frequentemente apresentam temas urgentes, como ‘Redefinição de Senha Necessária’ ou ‘Notificação de Mudança de Endereço do USPS’. Ao clicar nos links, os usuários são levados a uma interface de CAPTCHA que parece legítima, mas que, na verdade, redireciona silenciosamente para sites que coletam credenciais, como Microsoft 365 e Google Workspace. A Trend Micro observou que a atividade aumentou entre fevereiro e abril, coincidindo com a adoção crescente do trabalho remoto, e novamente em agosto. Para combater essas táticas, as organizações devem implementar medidas de segurança avançadas e treinar os funcionários para reconhecer sinais de phishing, especialmente em relação a prompts de CAPTCHA. A combinação de controles técnicos e vigilância informada dos usuários é essencial para mitigar esses riscos.

Um novo relatório da equipe de segurança da Microsoft revela um ataque de engenharia social chamado ClickFix, que tem enganado usuários a executar comandos em seus computadores, resultando em invasões. O ataque se disfarça de CAPTCHA, uma verificação comum para distinguir humanos de bots, mas solicita que a vítima execute uma série de comandos que culminam na execução de códigos maliciosos. O processo envolve pressionar as teclas Windows + R, colar um comando fornecido pelos cibercriminosos e executá-lo, o que pode permitir acesso remoto ao dispositivo e roubo de informações sensíveis, como senhas e dados de cartões de crédito.