Los investigadores de ciberseguridad han descubierto una campaña de phishing generalizada que utiliza imágenes falsas de Captcha compartidas a través de documentos PDF alojados en la Red de entrega de contenido (CDN) de Webflow para entregar el malware Lumma Stealer.
Netskope Threat Labs dijo que descubrió 260 dominios únicos que alojan 5,000 archivos PDF de phishing que redirigen a las víctimas a sitios web maliciosos.
“El atacante usa SEO para engañar a las víctimas para que visiten las páginas haciendo clic en los resultados de los motores de búsqueda maliciosos”, el investigador de seguridad Jan Michael Alcantara dicho En un informe compartido con The Hacker News.
“Si bien la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos archivos PDF contienen captchas falsos que engañan a las víctimas para ejecutar comandos de PowerShell maliciosos, lo que finalmente conduce al malware Lumma Stealer”.
Se estima que la campaña de phishing ha afectado a más de 1,150 organizaciones y más de 7,000 usuarios desde la segunda mitad de 2024, con los ataques principalmente víctimas en América del Norte, Asia y el sur de Europa en todos los sectores de tecnología, servicios financieros y fabricación.
De los 260 dominios identificados para alojar los PDF falsos, la mayoría de ellos están relacionados con el flujo web, seguidos de aquellos relacionados con GoDaddy, sorprendentemente, Wix y rápidamente.
También se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas legítimas en línea y repositorios de PDF como PDFCoffee, PDF4Pro, PDFBean e Archivo de Internet, de modo que los usuarios que buscan documentos PDF en los motores de búsqueda están dirigidos a ellos.
Los PDF contienen imágenes fraudulentas de Captcha que actúan como un conducto para robar información de la tarjeta de crédito. Alternativamente, aquellos que distribuyen Lumma Stealer contienen imágenes para descargar el documento que, cuando se hace clic, lleva a la víctima a un sitio malicioso.
Por su parte, el sitio se disfraza de una página de verificación Captcha falsa que emplea la técnica ClickFix para engañar a la víctima para que ejecute un comando MSHTA que ejecuta el malware del robador por medio de un script de PowerShell.
En las últimas semanas, Lumma Stealer también ha sido disfrazado Como juegos de Roblox y una versión agrietada de la herramienta Total Commander para Windows, destacando los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a través de videos de YouTube que probablemente se cargan de cuentas previamente comprometidas.
“Los enlaces maliciosos y los archivos infectados a menudo se disfrazan en [YouTube videos, comments, or descriptions,” Silent Push said. “Exercising caution and being skeptical of unverified sources when interacting with YouTube content, especially when prompted to download or click on links, can help protect against these growing threats.”
The cybersecurity company further found that Lumma Stealer logs are being shared for free on a relatively new hacking forum called Leaky[.]Pro que fue operativo a fines de diciembre de 2024.
Lumma Stealer es una solución de Crimeware con todas las funciones que se ofrece a la venta bajo el modelo de malware como servicio (MAAS), lo que da una forma de cosechar una amplia gama de información de hosts de Windows comprometidos. A principios de 2024, los operadores de malware anunciaron una integración con un malware proxy basado en Golang llamado GhostSocks.
“La adición de una característica de concentración de calcetines5 a las infecciones de Lumma existentes, o cualquier malware, es altamente lucrativo para los actores de amenaza”, Infrawatch dicho.
“Al aprovechar las conexiones a Internet de las víctimas, los atacantes pueden pasar por alto las restricciones geográficas y las verificaciones de integridad basadas en IP, particularmente aquellas aplicadas por las instituciones financieras y otros objetivos de alto valor. Esta capacidad aumenta significativamente la probabilidad de éxito para los intentos de acceso no autorizados utilizando credenciales cosechadas a través de registros de infostadores de infostadores, mejora aún más el valor posterior a la explotación de las infecciones de lumma de Lumma” “.”
Las divulgaciones se producen cuando se distribuyen malware del robador como Vidar y Atomic MacOS Stealer (AMOS) utilizando el método ClickFix a través de señuelos para el chatbot de inteligencia artificial (AI) Deepseek, según ZSCALER AMENAYLABZ y esentire.
Los ataques de phishing también se han visto abusando de un método de ofuscación de JavaScript que utiliza caracteres unicode invisibles para representar valores binarios, una técnica que era Primero documentado en octubre de 2024.
El enfoque implica hacer uso de caracteres de relleno unicode, específicamente Hangul medio ancho (u+ffa0) y hangul de ancho completo (u+3164), para representar los valores binarios 0 y 1, respectivamente, y convirtiendo cada carácter ASCII en la carga útil de JavaScript a sus equivalentes de susgul.
“Los ataques fueron altamente personalizados, incluida la información no pública, y el JavaScript inicial intentaría invocar un punto de ruptura del depurador si se analizara, detectar un retraso y luego abortar el ataque redirigiendo a un sitio web benigno”, Juniper AMENA Labs Labs dicho.
About the Author
