Ciberdelincuentes utilizan pantallas de verificación falsas de Cloudflare para engañar a los usuarios y que ejecuten malware.
Se ha identificado una nueva campaña de malware que utiliza falsas pantallas CAPTCHA de Cloudflare para engañar a los usuarios y hacer que ejecuten comandos maliciosos en sus sistemas. El ataque emplea técnicas avanzadas de ingeniería social y múltiples etapas de ejecución que incluyen PowerShell, evasión de entornos virtuales y técnicas anti-análisis.
Descripción general del ataque:
El ataque comienza con una página web que simula una pantalla de verificación legítima de Cloudflare, a la que se accede mediante enlaces de phishing o sitios web comprometidos. Al hacer clic en el botón “Verificar”, el sitio inyecta código PowerShell en el portapapeles del usuario y solicita que lo ejecute manualmente desde el cuadro “Ejecutar” de Windows.
Posteriormente, este código descarga otros scripts maliciosos codificados en Base64 desde servicios tipo pastebin, y archivos por lotes (BAT) desde dominios controlados por atacantes. Estos archivos incluyen mecanismos de evasión que impiden su ejecución en entornos de análisis. Si detecta un sistema real, continúa con la instalación de malware adicional en el equipo de la víctima.
La sofisticación de esta técnica se apoya en el uso de webhooks para rastrear la actividad del usuario, captura de IPs y registro de pulsaciones de teclas.
Conclusión:
Este incidente demuestra el creciente nivel de sofisticación de las campañas de malware modernas, que combinan ingeniería social, ofuscación técnica y manipulación psicológica. La confianza del usuario en interfaces conocidas, como las pantallas de Cloudflare, es explotada para ejecutar manualmente comandos que comprometen la seguridad del sistema. La amenaza pasa desapercibida por soluciones antivirus tradicionales, lo que resalta la necesidad de fortalecer la educación en ciberseguridad y las estrategias de defensa.
Indicadores de compromiso:
Hash Domain:
- dex-redirect[.]com
- pastesio[.]com
- axiomsniper[.]info
Referencias
- Fuente 1: https://gbhackers.com/cybercriminals-use-fake-cloudflare-verification-screens/
- Fuente 2: https://www.linkedin.com/posts/shaquib-izhar_a-very-cool-fake-captcha-social-engineering-activity-7346678407419613184-B0-Y/?utm_source=social_share_send&utm_medium=member_desktop_web&rcm=ACoAABO-jCkB1he5ufTfbYYMNKmaojg8M31OVpM