Los hackers utilizaron páginas de CAPTCHA falsas para difundir malware en Windows

Cómo los atacantes usan páginas CAPTCHA falsas

Los investigadores recientes han descubierto una vulnerabilidad que permite a los hackers engañar a usuarios de Windows y hacerles ejecutar un script malicioso de PowerShell. El script, llamado Stealthy StealC Information Stealer, roba datos del navegador, contraseñas de billeteras de criptomonedas, cuentas de Steam y Outlook, y luego envía todo eso junto con capturas de pantalla al servidor de comando y control.

¿Qué ocurre durante el ataque?
1. Páginas CAPTCHA falsas

Los hackers colocan una interfaz de verificación falsa que parece una página típica con CAPTCHA. En estas páginas, el usuario ve la “solicitud” de pulsar la combinación Windows + R (abrir el diálogo Ejecutar) y luego Ctrl + V (pegar desde el portapapeles).

2. Ejecución de PowerShell desde el portapapeles

El script ejecutable de PowerShell se carga previamente en el portapapeles. Siguiendo la instrucción, el usuario lo ejecuta manualmente sin sospechar su naturaleza maliciosa.

3. Descarga y propagación del código

Tras iniciarse, el script se conecta a un servidor remoto y descarga código malicioso adicional. El tráfico está cifrado con RC4, dificultando su detección por medios de seguridad estándar.

¿Por qué es peligroso?
- Evita las protecciones tradicionales – los mecanismos habituales de bloqueo de descargas pueden no funcionar, ya que el script ya está en ejecución dentro del sistema.
- Amplio rango de datos robados – desde contraseñas de navegadores hasta claves de criptomonedas y cuentas de servicios populares.
- Invisibilidad para el usuario – la acción parece una simple verificación de seguridad, no un lanzamiento de malware.

¿Cómo protegerse?
Medida | Acción
--- | ---
Limitar el uso de PowerShell | Establecer políticas que prohíban la ejecución de scripts sin firma.
Control de aplicaciones Windows | Activar AppLocker o sistema similar de control de ejecución de programas.
Monitoreo del tráfico saliente | Rastrear conexiones sospechosas (por ejemplo, tráfico HTTP cifrado con RC4) y bloquearlas.

Siguiendo estas recomendaciones, se puede reducir significativamente el riesgo de que un usuario sea víctima de este tipo de ataque.