IcedID fue solo el comienzo: Lunar Spider convirtió su «captcha» en una herramienta para espiarte

El grupo Lunar Spider, también conocido como Gold SwathMore y Elara, activó una nueva campaña maliciosa en la que utiliza una interfaz de verificación CAPTCHA falsa para infectar dispositivos. El principal método de intrusión fue la explotación de sitios web vulnerables en Europa mediante una configuración incorrecta de CORS —política de intercambio de recursos entre orígenes—. En los recursos comprometidos los atacantes inyectan un código JavaScript llamado iFrameOverload, que superpone una página CAPTCHA falsa denominada TeleCaptcha sobre el contenido y comienza a rastrear la actividad del usuario.

La pseudointerfaz no solo imita el proceso de verificación, sino que obliga a la víctima a copiar en el portapapeles un comando generado. Esa cadena incluye una instrucción de PowerShell para descargar un archivo MSI que contiene un ejecutable de Intel y una DLL maliciosa llamada Latrodectus. Tras su ejecución, el archivo EXE se registra en el inicio automático mediante la clave Run del registro y, en arranques posteriores, carga la DLL mediante la manipulación del orden de búsqueda de bibliotecas. En este caso la DLL está firmada, pero su certificado fue revocado posteriormente.

La propia DLL Latrodectus, en su versión 2.3, establece comunicación con el servidor de comando y control y ejecuta diversas órdenes para recopilar información. La configuración del componente indica soporte de cifrado RC4, múltiples scripts integrados para recoger datos de red y del sistema, así como la capacidad de descargar componentes maliciosos adicionales.

Entre sus funciones se encuentra la consulta de dominios de confianza, la enumeración de grupos de usuarios, la comprobación de la presencia de antivirus, las consultas al registro y otras acciones propias de la preparación de un ataque posterior —en particular, la propagación de ransomware, con el que Lunar Spider, según datos previos, colabora.

Además de la descarga e instalación, TeleCaptcha vigila activamente los clics de la víctima y envía notificaciones al canal de Telegram de los atacantes. Los identificadores de usuario se generan a partir de combinaciones aleatorias de adjetivos y animales, y se almacenan en localStorage para rastrear actividad repetida. Los usuarios de Windows despiertan especial interés: según sus acciones se envían mensajes adicionales, incluidos avisos para que el operador compruebe el panel de control de la infraestructura maliciosa.

La infraestructura utilizada en esta campaña incluye dominios alojados en AWS, Cloudflare y Railnet. Están registrados principalmente a través de registradores asiáticos y se usan en las distintas etapas del ataque —desde el alojamiento de JavaScript y la CAPTCHA falsa hasta el hosting de la carga útil y los servidores de C2. La mayoría de los sitios que sirven para la infección inicial están construidos sobre WordPress y son vulnerables a ataques debido a configuraciones incorrectas de CORS.

El análisis de los archivos MSI detectados muestra que fueron creados con AdvancedInstaller y que durante la instalación descomprimen un archivo CAB que contiene ejecutables y bibliotecas auxiliares. La ejecución se realiza sin mostrar ventanas, con aceptación automática de los términos y con los detalles de la instalación registrados en un archivo de registro. Para garantizar persistencia y presencia sigilosa se emplean técnicas conocidas, incluidas la entrada en el inicio automático mediante el registro y la carga lateral de DLL en un ejecutable legítimo de Intel.

Este enfoque es la continuación de la estrategia iniciada en la época de la amplia propagación de IcedID. Después de que la infraestructura de esa plataforma maliciosa fue eliminada durante la operación Endgame, Lunar Spider pasó a Latrodectus, manteniendo los modelos MaaS y los cargadores de etapa temprana. Teniendo en cuenta el amplio conjunto de herramientas y la actividad en Europa, especialmente en Alemania, esta campaña representa un riesgo significativo para el sector empresarial, y en particular para el sector financiero.