Pesquisadores da Netskope Threat Labs descobriram uma nova campanha de malware que utiliza CAPTCHAs falsos e o serviço Cloudflare Turnstile como iscas para enganar vítimas e instalar o LegionLoader, um malware que finaliza sua ação com a instalação de uma extensão maliciosa no navegador. Desde fevereiro de 2025, os atacantes têm direcionado usuários que buscam documentos PDF online.

Ao clicar em links maliciosos, a vítima é redirecionada para páginas que exibem CAPTCHAs falsos, induzindo a ativação de notificações do navegador. Se o usuário permitir, é levado a outro CAPTCHA, seguido por instruções para baixar um suposto documento. O processo exige que a vítima abra a janela de execução do Windows, cole um comando previamente copiado e o execute. Esse comando usa o cURL para baixar um arquivo MSI, que, ao ser executado, ativa a cadeia de infecção.

O MSI contém um aplicativo legítimo assinado pela VMware, que sideloada uma DLL maliciosa para carregar o LegionLoader. A campanha também utiliza um algoritmo customizado para ocultar o código malicioso, dificultando a detecção por soluções de segurança. O estágio final instala uma extensão maliciosa compatível com os navegadores Chrome, Edge, Brave e Opera, capaz de roubar dados sensíveis do sistema e do usuário. A campanha já atingiu mais de 140 clientes da Netskope na América do Norte, Ásia e Europa do Sul, com foco nos setores de tecnologia e serviços financeiros. A pesquisa alerta que os atacantes estão explorando buscas por PDFs como vetor de ataque, adotando táticas cada vez mais sofisticadas para comprometer sistemas e roubar informações.