lunes, 3 de noviembre de 2025

No soy un robot… pero mi PC quedó infectada: captchas maliciosos vuelven a la carga

 

🗞️ Resumen del hecho:

Un grupo vinculado al estado ruso conocido como Star Blizzard (también referido como ColdRiver, UNC4057, Callisto) está usando una sofisticada táctica de ingeniería social —denominada ClickFix— para engañar a usuarios con captchas falsos tipo “No soy un robot”.
Las ventanas emergentes inducen a la víctima a copiar y ejecutar comandos en la consola o a instalar complementos maliciosos; al hacerlo, se instalan cargas como NOROBOT, YESROBOT, MAYBEROBOT (evoluciones del antiguo LostKeys), que logran persistencia, modifican el registro y programan tareas maliciosas.
Estos binomios (captchas + comando) evitan la detección inicial y pueden derivar en espionaje, exfiltración o instalar módulos adicionales difíciles de detectar por antivirus tradicionales.

🔍 Análisis y contexto:

  • Evolución de la técnica: Lo que antes podía parecer un pop-up molesto se ha refinado: ahora las pantallas fingen ser verificaciones legítimas y utilizan un lenguaje y diseño creíble para convencer al usuario promedio.

  • Motivación del actor: Star Blizzard ha apuntado históricamente a gobiernos, ONGs y periodistas; el uso de captchas busca ampliar víctimas a usuarios comunes y redes corporativas por igual.

  • Peligros principales: persistencia elevada (modificación de registro, tareas programadas), evasión de detección (ofuscación, ejecución por consola), y capacidad de pivotar dentro de redes corporativas si el equipo inicial está en un dominio laboral.

  • Rol de la IA: Generación de mensajes más convincentes y personalización de lures, lo que incrementa la tasa de éxito del engaño.

🧰 Recomendaciones (rápidas y accionables):

Para usuarios domésticos

  1. Nunca pegues ni ejecutes comandos que te pidan en una web o pop-up. Punto.

  2. No instales extensiones ni complementos desde ventanas emergentes; usa las tiendas oficiales del navegador y revisa permisos.

  3. Cierra la pestaña si un captcha pide acciones extrañas (copiar/pegar comandos, descargar .exe/.zip).

  4. Mantén actualizado SO, navegador y antivirus (Microsoft Defender / Bitdefender / Avast son opciones válidas).

  5. Activa protección de scripts en el navegador (uBlock Origin + bloqueo de scripts por defecto) y evita ejecutar PowerShell/Terminal con privilegios sin verificar.

Para empresas y SOCs

  1. Política de no ejecución de comandos desde navegadores en endpoints corporativos: bloquear PowerShell/Terminal por políticas (AppLocker, Windows Defender Application Control).

  2. Hardenización de navegadores: CSP estricto, bloqueo de iframes no autorizados y deshabilitar ejecución de scripts desde orígenes no confiables.

  3. EDR + detección de comportamiento (monitorizar creación de tareas programadas, cambios en HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run, y llamadas a PowerShell con comandos ofuscados).

  4. WAF y filtrado web que inspeccione y bloquee ventanas emergentes y dominios de lures conocidos.

  5. Concienciación continua: simulacros de phishing que incluyan escenarios de “captcha malicioso” y formación para NO ejecutar comandos en consola.

  6. Respuesta rápida: crear playbooks para detección de IoC (hashes, dominios) y procedimientos de contención (aislar host, forense en memoria, revertir cambios en registro).

Indicadores de compromiso (IOCs) — señales de alerta

  • Mensajes que te piden ejecutar powershell -enc ... o copiar comandos en terminal.

  • Nuevas tareas programadas con nombres crípticos.

  • Entradas recientes en HKCU\...\Run o HKLM\...\Run que apunten a rutas inusuales.

  • Extensiones de navegador instaladas recientemente sin autorización.

  • Aumento de procesos PowerShell/Node.js/Chrome con parámetros ofuscados.

en

No hay comentarios:

Publicar un comentario