I CAPTCHA li conosci: quelle schermate che ti chiedono di ricopiare lettere storte, selezionare semafori o cliccare su “Non sono un robot”. Li trovi ovunque, li usi ogni giorno senza pensarci. Ed è esattamente su questa abitudine che qualcuno ha costruito una truffa efficace, subdola e difficile da riconoscere anche per chi se ne intende. Io stesso ci sono quasi cascato, e questo mi ha spinto a scriverne.
L’attacco colpisce soprattutto gli utenti Windows e si è già diffuso in diversi paesi, Italia inclusa. Secondo le analisi di Kaspersky, le vittime sarebbero decine di migliaia. I bersagli principali, almeno inizialmente, erano i gamer, ma la truffa si sta espandendo rapidamente ad altri contesti.
Come funziona nel concreto
Stai navigando su un sito di gaming, o di file-sharing, o su una community di anime, o su un bookmaker, e compare un banner a tutto schermo. Un clic, anche involontario, ti porta su una pagina con quello che sembra un normalissimo CAPTCHA. Clicchi su “Non sono un robot” e in quel preciso momento, senza che tu te ne accorga, negli appunti del tuo computer viene copiato un comando PowerShell criptato.
La pagina ti chiede quindi di incollare quel comando in una cartella del PC e premere Invio. Sembra una procedura di verifica tecnica, plausibile, familiare. Ma è lì che scatta la trappola: si installa Lumma, uno stealer, un malware progettato per rubare password, dati dei password manager, cookie di sessione e tutto ciò che riguarda le criptovalute. In background, nel frattempo, il malware visita autonomamente piattaforme di e-commerce per generare traffico e profitti per chi ti ha attaccato.
Le varianti più recenti
Kaspersky ha già individuato un’evoluzione dell’attacco: non usa più il finto CAPTCHA, ma un messaggio di errore identico a quelli di Google Chrome. Il messaggio invita l’utente a “copiare la correzione” nel terminale, ma il comando è lo stesso PowerShell dannoso di prima. Cambia la maschera, il meccanismo resta identico. In questa nuova versione compare anche il Trojan Amadey, che va oltre il furto dati: fa screenshot, ruba credenziali dai browser e consente il controllo remoto del dispositivo infetto.
Come non cadere nella trappola
La buona notizia è che proteggersi è semplice, a patto di tenere la guardia alta. Nessun sito legittimo, mai, per nessun motivo, ti chiederà di incollare un comando nel terminale di Windows. Se succede, chiudi tutto senza esitare. Diffidate dai CAPTCHA che appaiono a pagina intera in contesti insoliti, e fate lo stesso con qualsiasi messaggio di errore che vi invita a “copiare la correzione”. Un antivirus aggiornato può rilevare comportamenti sospetti prima che il danno sia fatto. Se hai già eseguito quel tipo di comando, cambia immediatamente tutte le password e controlla i tuoi account, a partire da quelli legati a carte di credito e criptovalute.
La regola è semplice: il terminale di Windows non è una cosa con cui un sito web dovrebbe mai interagire. Se lo fa, qualcuno ti sta mentendo.
Per apprendere altre informazioni su che cos’è un CAPTCHA, Google ne parla chiaramente nelle proprie guide.
Se invece ti appassiona leggere altri articoli simili a questo premi sulla categoria Tecnologia e innovazione.