Gli hacker utilizzano falsi pop-up reCAPTCHA per installare malware e rubare criptovalute

Il gruppo di sicurezza informatica eSentire ha scoperto l'uso di falsi pop-up in stile CAPTCHA per indurre le vittime a distribuire malware per la raccolta dident, Amatera Stealer e NETSupport RAT, sfruttando un metodo noto come ClickFix.

La Threat Response Unit (TRU) di eSentire ha tracun'escalation di campagne che sfruttano ClickFix per ottenere l'accesso iniziale ai sistemi presi di mira a novembre. Secondo la TRU, gli autori delle minacce utilizzano questo metodo per indurre le vittime a eseguire manualmente comandi dannosi tramite il prompt Esegui di Windows. 

Una volta eseguiti, questi comandi avviano una catena di infezioni che termina con l'implementazione di Amatera Stealer e NetSupport RAT, entrambi strumenti legittimi di monitoraggio remoto che sono stati riutilizzati dai criminali informatici per l'accesso remoto non autorizzato.

La campagna ClickFix utilizza reCAPTCHA per introdurre malware di nascosto

Secondo una ricerca di eSentire pubblicata giovedì scorso, gli hacker stanno attirando le vittime utilizzando siti web falsi e pop-up che sembrano "controlli di sicurezza", tra cui caselle di verifica reCAPTCHA fraudolente e pagine Cloudflare Turnstile contraffatte. 

Le interfacce ingannevoli spingono gli utenti a "risolvere" un presunto problema, mentre le istruzioni li inducono a eseguire comandi dannosi senza accorgersi dei rischi. Una volta eseguito il comando iniziale, viene prima eseguito Amatera Stealer, seguito dall'installazione di NetSupport Manager, che consente agli hacker di monitorare e controllare la macchina compromessa come se fossero fisicamente presenti.

Amatera Stealer non è una minaccia del tutto nuova, ma l'ultima evoluzione di ACR Stealer, noto anche come AcridRain. La versione precedente è apparsa per la prima volta come prodotto malware-as-a-service sui forum degli hacker nel 2024, distribuito da diversi utenti tramite pacchetti di abbonamento.

Le vendite di ACR sono state sospese a metà del 2024, quando il suo sviluppatore, noto online come SheldIO, ha venduto il codice sorgente del malware. Nonostante l'annuncio della vendita, il gruppo ha affermato che "non si trattava della fine" del suo sviluppo. I ricercatori ora ritengono che Amatera sia il successore diretto di ACR, ricostruito con maggiori capacità e nuove tecniche di elusione.

Amatera, individuata a giugno dalla società di auditing della sicurezza Proofpoint, è disponibile in abbonamento a partire da 199 dollari al mese fino a 1.499 dollari all'anno.

"Amatera fornisce agli autori delle minacce ampie capacità di esfiltrazione dei dati, prendendo di mira cripto-wallet, browser, applicazioni di messaggistica, client FTP e servizi di posta elettronica. Impiega strategie di evasione avanzate come le SysCall di WoW64 per aggirare i meccanismi di hook-in modalità utente utilizzati da sandbox, soluzioni antivirus e prodotti EDR", ha affermato eSentire.

Il malware è scritto in C++ ed è in grado di raccogliere password salvate, dettagli delle carte di credito, cronologie di navigazione e file da browser come Chrome, Brave, Edge, Opera, Firefox e piattaforme specializzate come Tor Browser e Thunderbird. 

Caricatori Windows PowerShell multistadio che nascondono malware

Secondo l'analisi delle minacce di eSentire, il processo di infezione di Amatera si basa su diversi livelli di comandi PowerShell offuscati. 

I ricercatori della TRU hanno osservato una fase decifrare i payload successivi utilizzando un processo XOR sulla stringa "AMSI_RESULT_NOT_DETECTED", un termine associato all'interfaccia di scansione anti-malware di Microsoft. Lo sviluppatore del loader potrebbe aver selezionato intenzionalmente la frase per confondere i ricercatori che conducevano analisi dinamiche.

Sebbene Amatera sia il payload più diffuso in queste campagne, eSentire ha documentato anche casi in cui lo stesso loader è stato utilizzato per distribuire altri infostealer, tra cui Lumma e Vidar. In alcuni campioni mancavano i parametri di configurazione necessari per l'esecuzione di loader multifase, e in questi casi gli hacker hanno scelto di distribuire direttamente NetSupport Manager.

eSentire e altre aziende di sicurezza hanno documentato campagne email che distribuivano file Visual Basic Script camuffati da fatture. Una volta aperti, i file eseguivano script batch che avviavano i caricatori di PowerShell che distribuivano XWorm.

Altre campagne hanno coinvolto siti web compromessi che reindirizzavano i visitatori a false pagine di verifica di Cloudflare, che imitavano i prompt di ClickFix. Questa attività è stata collegata a un'operazione nota con nomi come SmartApeSG, HANEYMANEY e ZPHP, tutte dotate di NetSupport RAT come payload finale.

Gli hacker avevano creato siti web fraudolenti di Booking.com che ospitavano controlli CAPTCHA contraffatti, chiedendo agli utenti di aprire la finestra di dialogo Esegui di Windows ed eseguire un comando, e installando direttamente uno script per il furto didentsui sistemi infetti.

Alcune delle campagne di phishing collegate a questi malware utilizzano un nuovo kit di phishing noto come Cephas. Cephas, secondo la società di soluzioni di sicurezza informatica Barracuda, utilizza un metodo di offuscamento avanzato che inserisce caratteri invisibili nel codice sorgente delle pagine di phishing, difficili da rilevare per gli scanner automatici.

"Il kit oscura il suo codice creando caratteri invisibili casuali all'interno del codice sorgente, il che gli consente di eludere gli scanner anti-phishing e di impedire alle regole YARA basate sulle firme di individuare con precisione i metodi di phishing", ha scritto nella sua analisi della scorsa settimana.