Haz clic en «No soy un robot» y arriesga perder todos tus datos: cómo PhantomCaptcha convirtió a Cloudflare en un caballo de Troya

El ataque PhantomCaptcha se convirtió en una de las operaciones de phishing más complejas de los últimos meses, dirigidas contra estructuras humanitarias y administrativas. Según SentinelLabs, los atacantes crearon un esquema cuidadosamente elaborado, disfrazado de una notificación oficial de una institución estatal, para infectar los sistemas del personal de grandes organizaciones internacionales. El objetivo de la campaña era obtener acceso remoto a los dispositivos y recopilar datos confidenciales.

Los correos contenían un documento PDF que a simple vista parecía una notificación oficial. Dentro del archivo había un enlace a un sitio falso, estilizado como una página de Cloudflare, que solicitaba completar una verificación de reCaptcha. Al hacer clic en el botón «No soy un robot» aparecía una ventana con instrucciones que pedían copiar un «token» e introducir un comando en la ventana del sistema Ejecutar. Ese comando activaba un script de PowerShell que descargaba código malicioso desde un dominio falso zoomconference.app, perteneciente a un proveedor de alojamiento en el extranjero. Los usuarios ejecutaban el script malicioso por sí mismos, eludiendo mecanismos de protección que detectan la ejecución de archivos sospechosos.

La carga principal consistía en una cadena de tres etapas de scripts de PowerShell. La primera parte actuaba como cargador, descargando el segundo componente desde el recurso «bsnowcommunications[.]com». La siguiente etapa recopilaba datos del sistema —nombre del equipo, del usuario, dominio e identificador de hardware— y luego los enviaba cifrados al mismo servidor. El último elemento de la cadena era una herramienta de administración remota que interactuaba con el servidor de comandos mediante el protocolo WebSocket. Permitía ejecutar comandos arbitrarios, descargar programas maliciosos adicionales y controlar la máquina infectada en tiempo real.

La infraestructura de PhantomCaptcha existió solo un día, lo que indica un alto grado de sigilo operativo. Tras la finalización de la operación, parte de los servidores se desconectó; sin embargo, los componentes del backend continuaron funcionando, atendiendo a dispositivos ya comprometidos. Según los analistas, la técnica de ataque guarda similitudes con la actividad de uno de los grupos de hackers conocidos, aunque la atribución definitiva aún no está confirmada.

Al analizar los servidores, los especialistas encontraron rastros de otra campaña orientada a dispositivos móviles. Desde las mismas direcciones IP se distribuían aplicaciones falsas para Android, por ejemplo, presentadas como servicios de entretenimiento. Estas aplicaciones solicitaban acceso a la geolocalización, a los contactos, a las fotos y a los registros de llamadas, enviando los datos a servidores de control. Aunque la relación con PhantomCaptcha no está probada por ahora, la coincidencia de infraestructura y métodos obliga a considerar estos casos como eslabones de una operación más amplia.

El ataque mostró cuán peligrosos se vuelven los esquemas sociales en los que el propio usuario ejecuta código malicioso sin sospechar la suplantación. Para protegerse, es importante prestar atención a cualquier mensaje que proponga introducir comandos manualmente, así como monitorizar intentos de conexión a dominios recientemente registrados que imitan servicios conocidos. PhantomCaptcha demuestra que incluso una operación de corta duración puede resultar extremadamente destructiva si detrás hay especialistas bien preparados, capaces de combinar sofisticación técnica y una manipulación psicológica planificada.