Siti web distribuiscono malware con finti CAPTCHA
Topic
Approfondimenti
Trending
tutti

Siti web distribuiscono malware con finti CAPTCHA

Una nuova variante del noto attacco ClickFix sfrutta i CAPTCHA su siti WordPress compromessi per ingannare l'utente e installare l'infostealer Vidar.
Siti web distribuiscono malware con finti CAPTCHA
Sicurezza
Una nuova variante del noto attacco ClickFix sfrutta i CAPTCHA su siti WordPress compromessi per ingannare l'utente e installare l'infostealer Vidar.
Google AI Studio

Gli esperti di Malwarebytes hanno individuato una nuova campagna malware che sfrutta la famigerata tecnica ClickFix per distribuire un noto infostealer. Stavolta l’utente viene invitato a risolvere un CAPTCHA quando visita alcuni siti. Seguendo le istruzioni indicate viene installato Vidar sul computer e inizia il furto di numerosi dati sensibili.

CAPTCHA fasullo per distribuire Vidar

Scrivere exploit che sfruttano vulnerabilità è piuttosto impegnativo e richiede competenze tecniche elevate. Molti cybercriminali hanno quindi scelto una strada più semplice, ovvero ingannare gli utenti con falsi problemi software che possono essere risolti seguendo le istruzioni. La tecnica è nota come ClickFix e una recente variante è stata scoperta dai ricercatori di Malwarebytes.

In qualche modo (ad esempio tramite link sponsorizzati sui motori di ricerca) convincono le ignare vittime a visitare siti legittimi. Per accedere ai contenuti è necessario dimostrare di essere un umano. Viene quindi mostrato un CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) di Cloudflare con la classica scritta “Verifica che sei un utente umano“. Invece di cliccare su semafori, strisce pedonali o autobus devono essere eseguiti i comandi indicati.

L’utente deve aprire la finestra Esegui di Windows, premere Ctrl + V e quindi Invio. Ovviamente non viene risolto il CAPTCHA, ma viene eseguito uno script HTA che scarica un installer MSI. Viene quindi caricato un loader che decifra ed esegue Vidar. Lo script che avvia l’infezione è stato iniettato in siti WordPress compromessi.

Vidar è un noto infostealer per Windows che raccoglie numerosi dati: password, informazioni sui wallet di criptovalute, cookie di sessione e token di autenticazione, dati di compilazione automatica e informazioni di pagamento salvate nel browser, file e documenti. Questi dati vengono quindi inviati al server controllato dai cybercriminali.

Il consiglio è quello di non eseguire mai i comandi con Esegui, terminale o PowerShell e installare una soluzione di sicurezza che rileva questo tipo di attacchi.

Fonte: Malwarebytes

Pubblicato il 17 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Vishing con Microsoft Teams: attenzione alle telefonate

Vishing con Microsoft Teams: attenzione alle telefonate
Truffe informatiche: nuovo business dei clan di camorra

Truffe informatiche: nuovo business dei clan di camorra
Interpol disattiva 45.000 indirizzi IP usati per truffe

Interpol disattiva 45.000 indirizzi IP usati per truffe
Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza

Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza
Vishing con Microsoft Teams: attenzione alle telefonate

Vishing con Microsoft Teams: attenzione alle telefonate
Truffe informatiche: nuovo business dei clan di camorra

Truffe informatiche: nuovo business dei clan di camorra
Interpol disattiva 45.000 indirizzi IP usati per truffe

Interpol disattiva 45.000 indirizzi IP usati per truffe
Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza

Google, Meta, Amazon e OpenAI contro le truffe: arriva l'alleanza
Luca Colantuoni
Pubblicato il
17 mar 2026
Link copiato negli appunti