Er vinden gerichte aanvallen plaats waarbij zogenaamde 'Cloudflare-captcha's' worden gebruikt om doelwitten met malware te infecteren, zo waarschuwt Google. Het gaat daarbij om gerichte aanvallen tegen 'westerse doelen en ngo's', aldus het techbedrijf. De aanvallers beginnen de aanval door het doelwit naar een bepaalde website te lokken. Hoe dit wordt gedaan laat Google niet weten, maar de groep wordt voor allerlei phishingaanvallen verantwoordelijk gehouden.

Zodra het doelwit op de website komt krijgt die een melding te zien dat er eerst een 'captcha' moet worden opgelost. In werkelijkheid wordt het doelwit verleid om een malafide PowerShell-commando op zijn eigen systeem uit te voeren. Dit commando zorgt voor de uiteindelijke installatie van de Lostkeys-malware. Deze malware steelt bestanden van het systeem en stuurt systeeminformatie en draaiende processen naar de aanvaller.

Google stelt dat de verantwoordelijke groep vaak inloggegevens voor e-mailaccounts steelt, om vervolgens e-mails en contacten te stelen. Onlangs stelde securitybedrijf Proofpoint dat het gebruik van malafide PowerShell-commando's zowel door cybercriminelen als voor cyberspionage wordt toegepast. Volgens Google is een door de Russische staat gesteunde groep verantwoordelijk voor de aanvaller met de 'Cloudflare-captcha's'.