CAPTCHAS FALSOS PROPAGAN MALWARE

¿Qué aspecto tienen las amenazas con CAPTCHAs?
Las amenazas de ingeniería social y malware se han potenciado con la inteligencia artificial, que permite a los ciberdelincuentes crear mensajes de phishing, SMS o publicaciones en redes sociales con redacción impecable y en múltiples idiomas, aumentando su efectividad. 

Además, visitar un sitio legítimo comprometido con anuncios o contenido malicioso puede provocar infecciones sin interacción del usuario, lo que hace que la detección ocurra tarde y las consecuencias sean más graves. En lugar de presentarle las típicas tareas CAPTCHA, como identificar imágenes similares o escribir un texto distorsionado, puede pedirle que ejecute comandos específicos, como:

• Hacer clic para «verificar que eres humano»;
• Pulsar la tecla de Windows + R para abrir el comando «Ejecutar»;
• Pulsar CTRL + V para pegar un comando que el malware ha copiado secretamente en el portapapeles;
• Pulsar ENTER para ejecutar el comando anterior.

Este comando suele activar herramientas legítimas de Windows, como PowerShell o mshta.exe, para descargar cargas maliciosas adicionales desde un servidor externo. El objetivo final suele ser instalar un infostealer, un tipo de malware diseñado para robar información confidencial de su dispositivo.

¿Cómo mantenerse a salvo?
Para evitar infostealers, troyanos de acceso remoto (RAT) y otras amenazas asociadas a CAPTCHAs maliciosos, sigue estas recomendaciones:

1. Tener cuidado con las solicitudes CAPTCHA inusuales, como las que piden ejecutar comandos;
2. Desconfíar de los CAPTCHA que aparecen de la nada, especialmente en sitios web que normalmente no requieren este tipo de verificación;
3. Mantener siempre actualizados el sistema operativo y el navegador, para reducir el riesgo de que los programas maliciosos se aprovechen de antiguos fallos;
4. Instalar software de seguridad de un proveedor fiable y mantenlo actualizado en todo momento: es una de las formas más eficaces de bloquear actividades maliciosas;
5. Evitar descargar software pirata, ya que a menudo se utiliza como vector para distribuir programas maliciosos, incluidos los que utilizan CAPTCHA falsos;
6. Considerar la posibilidad de utilizar un bloqueador de anuncios para evitar que se cargue contenido potencialmente malicioso a través de anuncios en línea.

¿Qué hacer si cae en el engaño?
Si desprevenidamente ejecuta los comandos ocultos mencionados anteriormente, siga estos pasos inmediatamente:

1. Ejecutar un análisis completo con un software de seguridad fiable para identificar y, con suerte, eliminar cualquier malware que se haya instalado silenciosamente;
2. Desconectar su dispositivo de Internet y haga una copia de seguridad de los archivos y fotos importantes;
3. Restaurar su ordenador o teléfono móvil a los valores de fábrica, eliminando cualquier posible amenaza persistente;
4. Cambiar todas sus contraseñas, creando credenciales fuertes y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas;
5. Activar la autenticación de doble factor (MFA) en todos los servicios posibles, garantizando una capa adicional de seguridad en caso de que sus contraseñas se hayan visto comprometidas.

Fuente: https://www.welivesecurity.com/es/seguridad-digital/captchas-verificacio...