{"id":1546028,"date":"2025-01-23T19:16:26","date_gmt":"2025-01-23T19:16:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuidado-la-campana-captcha-falsa-difunde-lumma-stealer-en-ataques-multisectoriales\/"},"modified":"2025-01-23T19:16:31","modified_gmt":"2025-01-23T19:16:31","slug":"cuidado-la-campana-captcha-falsa-difunde-lumma-stealer-en-ataques-multisectoriales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuidado-la-campana-captcha-falsa-difunde-lumma-stealer-en-ataques-multisectoriales\/","title":{"rendered":"Cuidado: la campa\u00f1a CAPTCHA falsa difunde Lumma Stealer en ataques multisectoriales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Phishing\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Cuidado-la-campana-CAPTCHA-falsa-difunde-Lumma-Stealer-en-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a de malware que aprovecha verificaciones de CAPTCHA falsas para entregar el infame ladr\u00f3n de informaci\u00f3n Lumma.<\/p>\n<p>&#8220;La campa\u00f1a es global, con Netskope Threat Labs rastreando a las v\u00edctimas objetivo en Argentina, Colombia, Estados Unidos, Filipinas y otros pa\u00edses alrededor del mundo&#8221;, dijo Leandro Fr\u00f3es, ingeniero senior de investigaci\u00f3n de amenazas de Netskope Threat Labs, en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.netskope.com\/blog\/lumma-stealer-fake-captchas-new-techniques-to-evade-detection\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>&#8220;La campa\u00f1a tambi\u00e9n abarca m\u00faltiples industrias, incluidas la atenci\u00f3n m\u00e9dica, la banca y el marketing, siendo la industria de las telecomunicaciones la que tiene el mayor n\u00famero de organizaciones a las que se dirige&#8221;.<\/p>\n<p>La cadena de ataque comienza cuando una v\u00edctima visita un sitio web comprometido, lo que la dirige a una p\u00e1gina CAPTCHA falsa que indica espec\u00edficamente al visitante del sitio que copie y pegue un comando en el indicador Ejecutar de Windows que utiliza el binario nativo mshta.exe para descargar y ejecutar. un archivo HTA desde un servidor remoto.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar que una iteraci\u00f3n anterior de esta t\u00e9cnica, <a rel=\"noopener nofollow\" href=\"https:\/\/www.threatdown.com\/blog\/clipboard-hijacker-tries-to-install-a-trojan\/\" target=\"_blank\">ampliamente<\/a> conocido como <a rel=\"noopener nofollow\" href=\"https:\/\/www.reliaquest.com\/blog\/using-captcha-for-compromise\/\" target=\"_blank\">Hacer clic en arreglar<\/a>implic\u00f3 la ejecuci\u00f3n de un script de PowerShell codificado en Base64 para desencadenar la infecci\u00f3n Lumma Stealer.<\/p>\n<p>El archivo HTA, a su vez, ejecuta un comando de PowerShell para iniciar una carga \u00fatil de la siguiente etapa, un script de PowerShell que descomprime un segundo script de PowerShell responsable de decodificar y cargar la carga \u00fatil de Lumma, no sin antes tomar medidas para omitir la interfaz de escaneo antimalware de Windows ( AARMI) en un esfuerzo por evadir la detecci\u00f3n.<\/p>\n<p>&#8220;Al descargar y ejecutar malware de esta manera, el atacante evita las defensas basadas en el navegador, ya que la v\u00edctima realizar\u00e1 todos los pasos necesarios fuera del contexto del navegador&#8221;, explic\u00f3 Fr\u00f3es.<\/p>\n<p>&#8220;Lumma Stealer opera utilizando el modelo de malware como servicio (MaaS) y ha estado extremadamente activo en los \u00faltimos meses. Al utilizar diferentes m\u00e9todos de entrega y cargas \u00fatiles, hace que la detecci\u00f3n y el bloqueo de dichas amenazas sean m\u00e1s complejos, especialmente cuando abusan del usuario. interacciones dentro del sistema.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737659785_167_Cuidado-la-campana-CAPTCHA-falsa-difunde-Lumma-Stealer-en-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1737659785_167_Cuidado-la-campana-CAPTCHA-falsa-difunde-Lumma-Stealer-en-ataques.png\" alt=\"Campa\u00f1a CAPTCHA falsa\" border=\"0\" data-original-height=\"231\" data-original-width=\"728\" title=\"Campa\u00f1a CAPTCHA falsa\"\/><\/a><\/div>\n<p>Tan recientemente como este mes, Lumma tambi\u00e9n se ha distribuido a trav\u00e9s de aproximadamente 1.000 dominios falsos que se hacen pasar por Reddit y WeTransfer y que redirigen a los usuarios para descargar archivos protegidos con contrase\u00f1a.<\/p>\n<p>Estos archivos contienen un cuentagotas AutoIT denominado SelfAU3 Dropper que posteriormente ejecuta el ladr\u00f3n, <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/crep1x\/status\/1881404758843699402\" target=\"_blank\">de acuerdo a<\/a> al investigador de Sekoia crep1x. A principios de 2023, los actores de amenazas <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/crep1x\/status\/1612199364805660673\" target=\"_blank\">apalancado<\/a> una t\u00e9cnica similar para activar m\u00e1s de 1.300 dominios haci\u00e9ndose pasar por AnyDesk para impulsar el malware Vidar Stealer.<\/p>\n<p>El desarrollo surge como Barracuda Networks. <a rel=\"noopener nofollow\" href=\"https:\/\/blog.barracuda.com\/2025\/01\/22\/threat-spotlight-tycoon-2fa-phishing-kit\" target=\"_blank\">detallado<\/a> una versi\u00f3n actualizada del kit de herramientas de phishing-as-a-Service (PhaaS) conocido como Tycoon 2FA que incluye funciones avanzadas para &#8220;obstruir, descarrilar y frustrar de otro modo los intentos de las herramientas de seguridad para confirmar su intenci\u00f3n maliciosa e inspeccionar sus p\u00e1ginas web&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Estos incluyen el uso de cuentas de correo electr\u00f3nico leg\u00edtimas (posiblemente comprometidas) para enviar correos electr\u00f3nicos de phishing y tomar una serie de medidas para evitar el an\u00e1lisis mediante la detecci\u00f3n de scripts de seguridad automatizados, la escucha de pulsaciones de teclas que sugieran una inspecci\u00f3n web y la desactivaci\u00f3n del men\u00fa contextual del bot\u00f3n derecho.<\/p>\n<p>Tambi\u00e9n se han observado ataques de recolecci\u00f3n de credenciales orientados a la ingenier\u00eda social que aprovechan el proveedor de avatares Gravatar para imitar varios servicios leg\u00edtimos como AT&#038;T, Comcast, Eastlink, Infinity, Kojeko y Proton Mail.<\/p>\n<p>&#8220;Al explotar los &#8216;Perfiles como servicio&#8217; de Gravatar, los atacantes crean perfiles falsos convincentes que imitan servicios leg\u00edtimos, enga\u00f1ando a los usuarios para que revelen sus credenciales&#8221;, dijo Stephen Kowski, director de tecnolog\u00eda de SlashNext Field. <a rel=\"noopener nofollow\" href=\"https:\/\/slashnext.com\/blog\/is-that-really-protonmail-new-credential-harvesting-threats-targeting-cloud-apps\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;En lugar de intentos gen\u00e9ricos de phishing, los atacantes adaptan sus perfiles falsos para que se parezcan a los servicios leg\u00edtimos que imitan de cerca a trav\u00e9s de servicios que a menudo no son conocidos ni protegidos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/beware-fake-captcha-campaign-spreads.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 de enero de 2025\ue804Ravie LakshmananPhishing\/malware Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a<\/p>\n","protected":false},"author":1,"featured_media":1546029,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,3372,81393,4664,26,58591,8197,201033,224777,273747,4654,201031,4659,4653,4655,246983,255454,246984,201032,39208,246982,4660],"class_list":["post-1546028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-campana","tag-captcha","tag-como-hackear","tag-cuidado","tag-difunde","tag-falsa","tag-las-noticias-de-los-piratas-informaticos","tag-lumma","tag-multisectoriales","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-stealer","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1546028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1546028"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1546028\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1546029"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1546028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1546028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1546028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}