In alcuni siti possiamo trovare una verifica, simile a quella che vedete nell’immagine, per controllare che ad accedere sia una vera persona. A volte basta mettere il flag nella casellina, oppure compaiono delle immagini da selezionare, prima di poter procedere. Il problema è che si stanno diffondendo dei falsi controlli che invitano l’utente a eseguire del codice, malevolo, per completare la verifica e, dalle discussioni che mi è capitato di leggere, qualcuno lo esegue pure, vedi 1 e 2.
Avvertenza: Nell’articolo lascio visibili l’indirizzo del sito e anche il codice che vorrebbero fosse eseguito, se decidete di usarlo è solo a vostro rischio e pericolo. Non mi assumo nessuna responsabilità.
Il sito che ho trovato sembra avere un normale controllo targato Clouflare.
Dopo aver messo il flag nella casellina parte l’animazione che simula il controllo della connessione.
Terminato il finto controllo si apre una extra verifica dove chiedono di eseguire il testo che è appena stato incollato negli appunti di Windows.
Questo è il testo che mi sono trovato incollato negli appunti di Windows, lo pubblico come immagine così non potete incollarlo direttamente.
Utilizza PowerShell e due comandi alias, Iwr e iex, che portano al download e all’esecuzione di altro codice malevolo.
Chi ha provato ad analizzare più a fondo il comportamento di questi comandi, parla di esecuzione di script pesantemente offuscati, impossibili da decifrare completamente, chi è riuscito a capirne qualcosa dice che non è sicuramente niente di buono per voi e il vostro sistema operativo.
In conclusione, non eseguite MAI niente del genere, si tratta sicuramente di un malware di qualche genere.