Ufficio
Soddisfare
Pagine CAPTCHA False Utilizzate per Distribuire Malware Invisibile
Metodo di Distribuzione del Malware
Focus sul Furto di Credenziali
Un Modello Continuativo
Analisi ed Raccomandazioni degli Esperti
Windows 11: Truffa CAPTCHA Falsa Installata StealC Infostealer
Tempo: Feb, 20, 2026

Pagine CAPTCHA false utilizzate per distribuire malware furtivi

I controlli di sicurezza di cui gli utenti si fidano vengono riutilizzati come trappole per malware. Secondo i ricercatori di sicurezza di LevelBlue, le pagine CAPTCHA false guidano gli utenti attraverso una sequenza di comandi ingannevoli per installare il furtivo StealC Information Stealer sui PC Windows. Una volta attivo, il malware può raccogliere credenziali da browser, Outlook, Steam e portafogli di criptovaluta.

Metodo di distribuzione del malware

Gli attaccanti creano pagine che imitano i normali prompt di verifica. Gli utenti incontrano il familiare flusso CAPTCHA “Non sono un robot”, seguito da istruzioni apparentemente utili ma dannose.

  1. Alle vittime viene chiesto di premere la combinazione di tasti Win + R per aprire la finestra di dialogo Esegui.
  2. Successivamente, viene detto loro di premere Ctrl + V, per incollare un payload nascosto nella finestra di dialogo.
  3. Il payload è un comando PowerShell dannoso che è stato precaricato negli appunti dalla pagina falsa.
  4. Infine, premendo Invio si esegue il comando, avviando la catena di infezione del malware.

I ricercatori notano che questo metodo si basa sul comportamento degli utenti e sui modelli di interfaccia fidati, piuttosto che sull'utilizzo di vulnerabilità zero-day. Pertanto, si tratta di un attacco comportamentale piuttosto che di un classico exploit software.

Focalizzazione sul furto di credenziali

Una volta installato, il malware StealC dà priorità al furto di credenziali. Prende di mira le password memorizzate nei browser, i cookie e i token di sessione, che possono concedere agli attaccanti un rapido accesso a numerosi servizi. Inoltre, cerca di compromettere:

  • Credenziali di Outlook: esponendo sia comunicazioni personali che aziendali.
  • Account Steam: inclusi i dettagli di pagamento memorizzati.
  • Portafogli di criptovaluta: consentendo il furto diretto di fondi.

Questo ampio set di obiettivi consente agli attaccanti di concatenare ulteriori attività dannose, come il reset delle password utilizzando l'accesso email rubato, la frode o il furto di identità utilizzando i dati di browser e portafogli.

Un modello in corso

I ricercatori sottolineano che questo non è un incidente isolato. Tattiche simili di ingegneria sociale sono state osservate dal 2024, indicando un interesse persistente da parte dei cybercriminali. CERT Polska riporta un “crescente numero di attacchi” in Polonia, evidenziando un uso attivo dell'infrastruttura e un targeting regionale. Le tendenze osservate suggeriscono che gli attaccanti trovano questo metodo abbastanza efficace da continuare a perfezionarlo ed espanderlo.

Le campagne correlate includono l'attività ClickFix, in cui falsi prompt di aggiornamento di Windows distribuivano strumenti di furto di informazioni attraverso lo stesso schema Win + R. In precedenti istanze erano coinvolte anche pagine CAPTCHA false e app contraffatte, come la distribuzione di Lumma Stealer. Insieme, questi casi inquadrano ClickFix come un framework di attacco in evoluzione piuttosto che una singola campagna.

Analisi degli esperti e raccomandazioni

Windows Central ha richiamato l'attenzione su questa ondata di CAPTCHA falsi per il pubblico generale, mentre gli esperti di sicurezza di LevelBlue hanno fornito un'analisi tecnica dettagliata delle meccaniche di distribuzione e del comportamento del payload. CERT Polska avverte che un singolo percorso di clic riuscito può esporre intere reti, poiché per questo tipo di attacco non è richiesta alcuna vulnerabilità software. L'applicazione di patch da sola non può affrontare il problema sottostante.

I flussi CAPTCHA legittimi non chiedono agli utenti di aprire finestre di dialogo Esegui o di eseguire comandi di sistema. Qualsiasi pagina che richieda azioni come Tasto Windows + R, incollare dagli appunti o eseguire comandi dovrebbe essere considerata dannosa. Gli utenti che incontrano tali prompt sono invitati a:

  • Chiudere immediatamente la scheda ed evitare di completare i passaggi richiesti.
  • Sovrascrivere il contenuto degli appunti con un testo innocuo.
  • Eseguire una scansione completa di sicurezza se è stato seguito anche solo parzialmente il procedimento.

Tuttavia, gli strumenti di sicurezza possono avere difficoltà a rilevare attacchi di ingegneria sociale basati sugli appunti in tempo reale. Gli attaccanti sfruttano funzioni legittime del sistema operativo per bypassare le difese automatizzate. Di conseguenza, la consapevolezza degli utenti resta una linea di difesa critica. Le organizzazioni dovrebbero includere questo modello di attacco nella loro formazione sulla sicurezza per garantire che i dipendenti riconoscano che i siti web validi non richiedono processi di verifica in stile riga di comando.

Prodotti consigliati
articoli CorrelatiDi Più
Il Pentagono Centralizza le Licenze Microsoft con l'Accordo DellMicrosoft ridisegna Copilot come un livello di flusso di lavoro più silenzioso e coordinato su Microsoft 365Microsoft Conferma il Bug Classico di Rendering delle Immagini in OutlookMicrosoft Abbandona i Codici SMS per Spingere le Chiavi di AccessoMicrosoft Maggio 2026 Patch Tuesday Risolve 120 Vulnerabilità, Nessun Zero-DayMicrosoft Semplifica l'Accesso a Copilot nelle App di OfficeMicrosoft lancia la modalità Copilot Agent in OutlookMicrosoft aprile 2026 Patch Tuesday risolve 167 vulnerabilità, 2 zero-dayClaude per Word porta la revisione di contratti legali con IA su Microsoft OfficeOffice.eu lanciato come alternativa sovrana europea a Microsoft 365
Chat dal vivo
0