Una ola de CAPTCHA falso está llevando a los usuarios a ejecutar PowerShell en Windows, activando al ladrón de criptomonedas Lumma Stealer. Según un análisis de DNSFilter, se registraron 23 interacciones en 72 horas, con el 17% de los visitantes siguiendo las instrucciones mostradas en la pantalla (DNSFilter). Resultado inmediato: carteras de criptomonedas vaciadas y fondos blanqueados en menos de 3 minutos.
Según los datos recopilados por los equipos de respuesta a incidentes que analizaron las páginas bloqueadas entre el 14 y el 17 de agosto de 2025, la ventana operativa para prevenir la primera transferencia de fondos a menudo es inferior a 180 segundos. Los analistas de la industria también señalan que las campañas con superposiciones persuasivas registran tasas de conversión entre el 12% y el 20%, consistente con el 17% detectado por DNSFilter.
Datos clave: 17% de "conversión" al ejecutar el comando.
Táctica: superposición de verificación que simula un chequeo anti-bot y guía la ejecución de PowerShell.
Impacto: robo de credenciales, cookies, 2FA y criptomonedas de billetera con monetización casi instantánea.
Un ejemplo de CAPTCHA falso que solicita una verificación "manual": una señal de advertencia que no debe pasarse por alto.
Cómo funciona el engaño: desde el falso “No soy un robot” hasta el malware en memoria
Los falsos CAPTCHAs imitan el clásico “No soy un robot”, pero en lugar de validar el acceso, solicitan al usuario que presione Windows+R y pegue un comando. Esto inicia una ejecución de PowerShell que descarga y carga en memoria un DLL vinculado a Lumma Stealer, a menudo utilizando una técnica sin archivos para evadir el software antivirus tradicional.
El malware puede deshabilitar o eludir controles de tiempo de ejecución como AMSI (Interfaz de Escaneo Antimalware) para ocultar cargas útiles cargadas en memoria. Un aspecto interesante es la velocidad de recolección: una vez activo, el malware extrae contraseñas guardadas, cookies, tokens de sesión, códigos de 2FA y datos de billetera de criptomonedas.
El caso observado por DNSFilter: superposición en sitios legítimos
La alerta se activó cuando un proveedor gestionado detectó una superposición de verificación en un sitio bancario europeo: mostraba un error DNS falso y requería una "verificación manual". El usuario fue guiado para ejecutar PowerShell, iniciando la descarga y ejecución de la carga útil Lumma. En tres días, se bloquearon 23 páginas similares; cabe señalar que casi 1 de cada 6 usuarios siguió los pasos propuestos.
Cronología de un robo en 3 minutos
Entrada: el usuario visita un sitio legítimo o una página clonada; aparece un CAPTCHA falso con error de DNS.
Ingeniería social: la página invita a "validar" el acceso con Windows+R y un comando precompilado.
Ejecución: PowerShell desactiva controles como AMSI, carga una DLL de Lumma Stealer y permanece en memoria (fileless).
Exfiltración: el malware recopila credenciales de navegador, cookies, 2FA, semillas y datos de billetera de criptomonedas.
Monetización: las claves se utilizan para transferir fondos en DEX y mezcladores; el lavado ocurre en minutos.
Distribución, variantes y dominios relacionados
La campaña ha sido detectada repetidamente en un rango estrecho, con páginas cambiando de dominio y gráficos para evadir bloqueos. No todas las variantes son sin archivos: algunas ofrecen una descarga ejecutable disfrazada como un “verificador”. En este contexto, entre los dominios observados en campañas similares se encuentran human-verify-7u.pages.dev y recaptcha-manual.shop.
Por qué la recuperación de las criptomonedas es tan difícil
La velocidad es la principal arma del ataque. Una vez robados, los fondos se trasladan a DEX y herramientas de automatización que fragmentan las transacciones. Por esta razón, los equipos de análisis en cadena informan que el lavado de dinero puede ocurrir en pocos minutos, lo que hace que la recuperación sea extremadamente compleja.
Indicadores técnicos ( para SOC/IT)
Dominios/URLs observados: human-verify-7u.pages.dev, recaptcha-manual.shop, variantes en los subdominios "human-verify" y "recaptcha-manual".
Tácticas, Técnicas, Procedimientos (TTP): ingeniería social a través de superposición; ejecución de PowerShell con desactivación de AMSI; carga de DLL en memoria (sin archivo); recolección de credenciales desde el navegador y la billetera.
Señales de anomalía de endpoint: proceso powershell.exe lanzado por explorer.exe/win+r; actividad de red inmediata posterior a la ejecución; acceso a directorios de perfiles de navegador.
Patrón de página: error de DNS falso + solicitud de "verificación manual" con la combinación Windows+R y "copiar/pegar".
Aviso legal: comparta los IOCs de manera responsable; evite difundir comandos ejecutables o cargas útiles.
Guía Rápida: Defensa Inmediata
No pegues comandos sugeridos por páginas web o ventanas emergentes.
Configurar bloques de DNS y filtrado de contenido para dominios sospechosos y categorías de malvertising.
Limitar la ejecución de scripts de PowerShell para usuarios no administradores; habilitar el Modo de Lenguaje Constricto donde sea posible.
Habilitar y monitorear soluciones AMSI y EDR con reglas sobre procesos en memoria.
Separa el uso de carteras del navegador principal; prefiere carteras hardware.
Desactiva el guardado de contraseñas en el navegador; utiliza un gestor de contraseñas con MFA.
Entrenar a los usuarios con ejemplos reales de phishing y CAPTCHA falsos en sitios sensibles.
Contramedidas para empresas
Segmentación de red y bloques a nivel de proxy/DNS para dominios recién registrados y patrones de "verificación humana/recaptcha-manual".
Portapapeles de políticas en dispositivos gestionados; alerta cuando un sitio induce a copiar/pegar comandos.
Caza de amenazas en cadenas de inyección de procesos y en ejecuciones anómalas de powershell.exe.
Manual de escalación inmediata: aislamiento del host, revocación de sesión, rotación de credenciales, invalidación de token y cookie.
Limitando el daño después del robo
Aisle inmediatamente el dispositivo y revoque las sesiones activas en servicios críticos.
Regenerar la frase semilla y mover los fondos a billeteras seguras y no comprometidas.
Habilitar MFA en aplicaciones independientes del navegador; evitar mecanismos vinculados a cookies o sesiones sincronizadas.
FAQ
¿Cómo reconocer un CAPTCHA falso?
Ten cuidado con las páginas que piden Windows+R, copiar/pegar comandos o descargar “verificadores”. En caso de duda, verifica la URL y cierra la página.
¿Es siempre un ataque sin archivos?
No. Algunas variantes descargan un ejecutable tradicional; otras operan completamente en memoria para reducir las huellas en el disco.
¿Qué datos buscan robar?
Credenciales de navegadores, cookies, 2FA, datos y claves de wallet cripto.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
CAPTCHAs falsos, cripto desapareció en 3 minutos: el truco de PowerShell de Lumma Stealer engaña a 1 ...
Una ola de CAPTCHA falso está llevando a los usuarios a ejecutar PowerShell en Windows, activando al ladrón de criptomonedas Lumma Stealer. Según un análisis de DNSFilter, se registraron 23 interacciones en 72 horas, con el 17% de los visitantes siguiendo las instrucciones mostradas en la pantalla (DNSFilter). Resultado inmediato: carteras de criptomonedas vaciadas y fondos blanqueados en menos de 3 minutos.
Según los datos recopilados por los equipos de respuesta a incidentes que analizaron las páginas bloqueadas entre el 14 y el 17 de agosto de 2025, la ventana operativa para prevenir la primera transferencia de fondos a menudo es inferior a 180 segundos. Los analistas de la industria también señalan que las campañas con superposiciones persuasivas registran tasas de conversión entre el 12% y el 20%, consistente con el 17% detectado por DNSFilter.
Datos clave: 17% de "conversión" al ejecutar el comando.
Táctica: superposición de verificación que simula un chequeo anti-bot y guía la ejecución de PowerShell.
Impacto: robo de credenciales, cookies, 2FA y criptomonedas de billetera con monetización casi instantánea.
Un ejemplo de CAPTCHA falso que solicita una verificación "manual": una señal de advertencia que no debe pasarse por alto.
Cómo funciona el engaño: desde el falso “No soy un robot” hasta el malware en memoria
Los falsos CAPTCHAs imitan el clásico “No soy un robot”, pero en lugar de validar el acceso, solicitan al usuario que presione Windows+R y pegue un comando. Esto inicia una ejecución de PowerShell que descarga y carga en memoria un DLL vinculado a Lumma Stealer, a menudo utilizando una técnica sin archivos para evadir el software antivirus tradicional.
El malware puede deshabilitar o eludir controles de tiempo de ejecución como AMSI (Interfaz de Escaneo Antimalware) para ocultar cargas útiles cargadas en memoria. Un aspecto interesante es la velocidad de recolección: una vez activo, el malware extrae contraseñas guardadas, cookies, tokens de sesión, códigos de 2FA y datos de billetera de criptomonedas.
El caso observado por DNSFilter: superposición en sitios legítimos
La alerta se activó cuando un proveedor gestionado detectó una superposición de verificación en un sitio bancario europeo: mostraba un error DNS falso y requería una "verificación manual". El usuario fue guiado para ejecutar PowerShell, iniciando la descarga y ejecución de la carga útil Lumma. En tres días, se bloquearon 23 páginas similares; cabe señalar que casi 1 de cada 6 usuarios siguió los pasos propuestos.
Cronología de un robo en 3 minutos
Entrada: el usuario visita un sitio legítimo o una página clonada; aparece un CAPTCHA falso con error de DNS.
Ingeniería social: la página invita a "validar" el acceso con Windows+R y un comando precompilado.
Ejecución: PowerShell desactiva controles como AMSI, carga una DLL de Lumma Stealer y permanece en memoria (fileless).
Exfiltración: el malware recopila credenciales de navegador, cookies, 2FA, semillas y datos de billetera de criptomonedas.
Monetización: las claves se utilizan para transferir fondos en DEX y mezcladores; el lavado ocurre en minutos.
Distribución, variantes y dominios relacionados
La campaña ha sido detectada repetidamente en un rango estrecho, con páginas cambiando de dominio y gráficos para evadir bloqueos. No todas las variantes son sin archivos: algunas ofrecen una descarga ejecutable disfrazada como un “verificador”. En este contexto, entre los dominios observados en campañas similares se encuentran human-verify-7u.pages.dev y recaptcha-manual.shop.
Por qué la recuperación de las criptomonedas es tan difícil
La velocidad es la principal arma del ataque. Una vez robados, los fondos se trasladan a DEX y herramientas de automatización que fragmentan las transacciones. Por esta razón, los equipos de análisis en cadena informan que el lavado de dinero puede ocurrir en pocos minutos, lo que hace que la recuperación sea extremadamente compleja.
Indicadores técnicos ( para SOC/IT)
Dominios/URLs observados: human-verify-7u.pages.dev, recaptcha-manual.shop, variantes en los subdominios "human-verify" y "recaptcha-manual".
Tácticas, Técnicas, Procedimientos (TTP): ingeniería social a través de superposición; ejecución de PowerShell con desactivación de AMSI; carga de DLL en memoria (sin archivo); recolección de credenciales desde el navegador y la billetera.
Señales de anomalía de endpoint: proceso powershell.exe lanzado por explorer.exe/win+r; actividad de red inmediata posterior a la ejecución; acceso a directorios de perfiles de navegador.
Patrón de página: error de DNS falso + solicitud de "verificación manual" con la combinación Windows+R y "copiar/pegar".
Aviso legal: comparta los IOCs de manera responsable; evite difundir comandos ejecutables o cargas útiles.
Guía Rápida: Defensa Inmediata
No pegues comandos sugeridos por páginas web o ventanas emergentes.
Configurar bloques de DNS y filtrado de contenido para dominios sospechosos y categorías de malvertising.
Limitar la ejecución de scripts de PowerShell para usuarios no administradores; habilitar el Modo de Lenguaje Constricto donde sea posible.
Habilitar y monitorear soluciones AMSI y EDR con reglas sobre procesos en memoria.
Separa el uso de carteras del navegador principal; prefiere carteras hardware.
Desactiva el guardado de contraseñas en el navegador; utiliza un gestor de contraseñas con MFA.
Entrenar a los usuarios con ejemplos reales de phishing y CAPTCHA falsos en sitios sensibles.
Contramedidas para empresas
Segmentación de red y bloques a nivel de proxy/DNS para dominios recién registrados y patrones de "verificación humana/recaptcha-manual".
Portapapeles de políticas en dispositivos gestionados; alerta cuando un sitio induce a copiar/pegar comandos.
Caza de amenazas en cadenas de inyección de procesos y en ejecuciones anómalas de powershell.exe.
Manual de escalación inmediata: aislamiento del host, revocación de sesión, rotación de credenciales, invalidación de token y cookie.
Limitando el daño después del robo
Aisle inmediatamente el dispositivo y revoque las sesiones activas en servicios críticos.
Regenerar la frase semilla y mover los fondos a billeteras seguras y no comprometidas.
Habilitar MFA en aplicaciones independientes del navegador; evitar mecanismos vinculados a cookies o sesiones sincronizadas.
FAQ
¿Cómo reconocer un CAPTCHA falso?
Ten cuidado con las páginas que piden Windows+R, copiar/pegar comandos o descargar “verificadores”. En caso de duda, verifica la URL y cierra la página.
¿Es siempre un ataque sin archivos?
No. Algunas variantes descargan un ejecutable tradicional; otras operan completamente en memoria para reducir las huellas en el disco.
¿Qué datos buscan robar?
Credenciales de navegadores, cookies, 2FA, datos y claves de wallet cripto.
Fuentes y conocimientos