El missatge fals demana als usuaris que facin una sèrie de dreceres de teclat per completar la verificació del navegador.

Un nou tipus de codi maliciós s’està distribuint a través d’avisos falsos de verificació al navegador i imitar CAPTCHAS, com el de I’m not a robot (No soc un robot) de Google.

Els atacants mostren una pantalla que simula una verificació legítima del navegador amb estil a aquest sistema ReCAPTCHA.

En lloc de marcar la casella corresponent es persuadeix l’usuari perquè premi una sèrie de dreceres de teclat per tal de completar la verificació del navegador. En concret, ha de teclejar Win + R+ Ctrl+ V i Enter, la qual cosa executaria ordres PowerShell des del porta-retalls. 

Quan els usuaris visiten el lloc maliciós, el codi JavaScript copia de manera automàtica una ordre de PowerShell molt ofuscada al seu porta-retalls sense el seu coneixement. 

Per tal d’evadir eines d’anàlisi estàtica i signatures antivirus la càrrega útil se serveix de múltiples capes d’ofuscació, segons detalla l’investigador Alexander Zammit. 

La confiança, porta d’entrada als ciberdelinqüents

El més perillós d’aquesta amenaça és que és força efectiva, perquè imita processos de seguretat legítims que els usuaris troben regularment en línia. Així el procés no sembla gens sospitós, sinó una cosa completament rutinària. 

En definitiva, és un vector especialment perillós, perquè no requereix vulnerabilitats tècniques: tot depèn de l’engany a l’usuari.

Els usuaris han de tenir molt clar que la verificació legítima del navegador mai requereix l’execució de comandaments mitjançant el quadre de diàleg Executar de Windows o el símbol del sistema.