Ha surgido una sofisticada campaña de ingeniería social dirigida a usuarios desprevenidos a través de pantallas fraudulentas de verificación de nubeflare, que representa una nueva evolución en las tácticas de distribución de malware.
Este método de ataque aprovecha la apariencia confiable de los servicios legítimos de seguridad web para engañar a las víctimas para que ejecute código malicioso en sus sistemas, explotando la confianza inherente en proveedores de seguridad establecidos.
La campaña de malware emplea un vector de ataque de varias etapas que comienza con una convincente página de verificación Captcha Fake diseñada para imitar las auténticas controles de seguridad de Cloudflare.
Cuando los usuarios se encuentran con esta interfaz engañada, se les solicita que completen lo que parece ser un proceso de verificación de rutina, sin saberlo, iniciando una secuencia de instalación de malware compleja.
Los investigadores de seguridad, incluidos los analistas de Shaquib Izhar, tienen identificado Esta campaña es particularmente peligrosa debido a su sofisticado enfoque de ingeniería social y técnicas de evasión avanzada.
El ataque demuestra cómo los ciberdelincuentes están explotando cada vez más la familiaridad de los usuarios con los mecanismos de seguridad legítimos para evitar la capacitación tradicional de conciencia de seguridad e infiltrarse en redes.
Al hacer clic en el botón “Verificar”, la página web maliciosa inyecta el código de PowerShell directamente en el portapapeles del usuario mientras captura simultáneamente su dirección IP para fines de reconocimiento.
Sitio Ake Captcha (fuente – LinkedIn)
Luego, el sistema solicita a las víctimas que realicen un paso de verificación adicional, creando una falsa sensación de legitimidad mientras monitorea en secreto sus acciones a través de capacidades de seguimiento de pulsaciones de teclas.
Mecanismo de infección avanzado y entrega de carga útil
El mecanismo de infección del ataque revela una sofisticada implementación técnica diseñada para evadir los sistemas de detección y mantener la seguridad operativa.
Cuando los usuarios acceden a la solicitud de Windows Run, la página web maliciosa establece la comunicación con la infraestructura de comando y control del atacante a través de webhooks integrados, enviando notificaciones en tiempo real sobre las acciones de la víctima.
El comando PowerShell pegado recupera una carga útil codificada de base64 de PaseSio (.) Com, que luego descarga y ejecuta un archivo BAT codificado de la información de AxiomSniper (.).
Este archivo BAT incorpora características anti-análisis, verificando específicamente los entornos de máquinas virtuales y terminando la ejecución si se detecta, evitando así los sistemas de análisis de seguridad automatizados y los entornos de sandbox.
Actualmente, el archivo BAT mantiene la detección cero entre los escáneres virusstotales, destacando la efectividad de la campaña para evadir los métodos de detección tradicionales basados en la firma y enfatizar la necesidad crítica de los enfoques de análisis de comportamiento en las estrategias modernas de defensa de la seguridad cibernética.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
