
Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de malware que aprovecha verificaciones de CAPTCHA falsas para entregar el infame ladrón de información Lumma.
“La campaña es global, con Netskope Threat Labs rastreando a las víctimas objetivo en Argentina, Colombia, Estados Unidos, Filipinas y otros países alrededor del mundo”, dijo Leandro Fróes, ingeniero senior de investigación de amenazas de Netskope Threat Labs, en un informe compartido con The Hacker News.
“La campaña también abarca múltiples industrias, incluidas la atención médica, la banca y el marketing, siendo la industria de las telecomunicaciones la que tiene el mayor número de organizaciones a las que se dirige”.
La cadena de ataque comienza cuando una víctima visita un sitio web comprometido, lo que la dirige a una página CAPTCHA falsa que indica específicamente al visitante del sitio que copie y pegue un comando en el indicador Ejecutar de Windows que utiliza el binario nativo mshta.exe para descargar y ejecutar. un archivo HTA desde un servidor remoto.
Vale la pena señalar que una iteración anterior de esta técnica, ampliamente conocido como Hacer clic en arreglarimplicó la ejecución de un script de PowerShell codificado en Base64 para desencadenar la infección Lumma Stealer.
El archivo HTA, a su vez, ejecuta un comando de PowerShell para iniciar una carga útil de la siguiente etapa, un script de PowerShell que descomprime un segundo script de PowerShell responsable de decodificar y cargar la carga útil de Lumma, no sin antes tomar medidas para omitir la interfaz de escaneo antimalware de Windows ( AARMI) en un esfuerzo por evadir la detección.
“Al descargar y ejecutar malware de esta manera, el atacante evita las defensas basadas en el navegador, ya que la víctima realizará todos los pasos necesarios fuera del contexto del navegador”, explicó Fróes.
“Lumma Stealer opera utilizando el modelo de malware como servicio (MaaS) y ha estado extremadamente activo en los últimos meses. Al utilizar diferentes métodos de entrega y cargas útiles, hace que la detección y el bloqueo de dichas amenazas sean más complejos, especialmente cuando abusan del usuario. interacciones dentro del sistema.”
Tan recientemente como este mes, Lumma también se ha distribuido a través de aproximadamente 1.000 dominios falsos que se hacen pasar por Reddit y WeTransfer y que redirigen a los usuarios para descargar archivos protegidos con contraseña.
Estos archivos contienen un cuentagotas AutoIT denominado SelfAU3 Dropper que posteriormente ejecuta el ladrón, de acuerdo a al investigador de Sekoia crep1x. A principios de 2023, los actores de amenazas apalancado una técnica similar para activar más de 1.300 dominios haciéndose pasar por AnyDesk para impulsar el malware Vidar Stealer.
El desarrollo surge como Barracuda Networks. detallado una versión actualizada del kit de herramientas de phishing-as-a-Service (PhaaS) conocido como Tycoon 2FA que incluye funciones avanzadas para “obstruir, descarrilar y frustrar de otro modo los intentos de las herramientas de seguridad para confirmar su intención maliciosa e inspeccionar sus páginas web”.
Estos incluyen el uso de cuentas de correo electrónico legítimas (posiblemente comprometidas) para enviar correos electrónicos de phishing y tomar una serie de medidas para evitar el análisis mediante la detección de scripts de seguridad automatizados, la escucha de pulsaciones de teclas que sugieran una inspección web y la desactivación del menú contextual del botón derecho.
También se han observado ataques de recolección de credenciales orientados a la ingeniería social que aprovechan el proveedor de avatares Gravatar para imitar varios servicios legítimos como AT&T, Comcast, Eastlink, Infinity, Kojeko y Proton Mail.
“Al explotar los ‘Perfiles como servicio’ de Gravatar, los atacantes crean perfiles falsos convincentes que imitan servicios legítimos, engañando a los usuarios para que revelen sus credenciales”, dijo Stephen Kowski, director de tecnología de SlashNext Field. dicho.
“En lugar de intentos genéricos de phishing, los atacantes adaptan sus perfiles falsos para que se parezcan a los servicios legítimos que imitan de cerca a través de servicios que a menudo no son conocidos ni protegidos”.






