Los investigadores de ciberseguridad han descubierto una campa\u00f1a de phishing generalizada que utiliza im\u00e1genes falsas de Captcha compartidas a trav\u00e9s de documentos PDF alojados en la Red de entrega de contenido (CDN) de Webflow para entregar el malware Lumma Stealer.<\/p>\n
Netskope Threat Labs dijo que descubri\u00f3 260 dominios \u00fanicos que alojan 5,000 archivos PDF de phishing que redirigen a las v\u00edctimas a sitios web maliciosos.<\/p>\n
“El atacante usa SEO para enga\u00f1ar a las v\u00edctimas para que visiten las p\u00e1ginas haciendo clic en los resultados de los motores de b\u00fasqueda maliciosos”, el investigador de seguridad Jan Michael Alcantara dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n “Si bien la mayor\u00eda de las p\u00e1ginas de phishing se centran en robar informaci\u00f3n de tarjetas de cr\u00e9dito, algunos archivos PDF contienen captchas falsos que enga\u00f1an a las v\u00edctimas para ejecutar comandos de PowerShell maliciosos, lo que finalmente conduce al malware Lumma Stealer”.<\/p>\n Se estima que la campa\u00f1a de phishing ha afectado a m\u00e1s de 1,150 organizaciones y m\u00e1s de 7,000 usuarios desde la segunda mitad de 2024, con los ataques principalmente v\u00edctimas en Am\u00e9rica del Norte, Asia y el sur de Europa en todos los sectores de tecnolog\u00eda, servicios financieros y fabricaci\u00f3n.<\/p>\n De los 260 dominios identificados para alojar los PDF falsos, la mayor\u00eda de ellos est\u00e1n relacionados con el flujo web, seguidos de aquellos relacionados con GoDaddy, sorprendentemente, Wix y r\u00e1pidamente.<\/p>\n Tambi\u00e9n se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas leg\u00edtimas en l\u00ednea y repositorios de PDF como PDFCoffee, PDF4Pro, PDFBean e Archivo de Internet, de modo que los usuarios que buscan documentos PDF en los motores de b\u00fasqueda est\u00e1n dirigidos a ellos.<\/p>\n Los PDF contienen im\u00e1genes fraudulentas de Captcha que act\u00faan como un conducto para robar informaci\u00f3n de la tarjeta de cr\u00e9dito. Alternativamente, aquellos que distribuyen Lumma Stealer contienen im\u00e1genes para descargar el documento que, cuando se hace clic, lleva a la v\u00edctima a un sitio malicioso.<\/p>\n Por su parte, el sitio se disfraza de una p\u00e1gina de verificaci\u00f3n Captcha falsa que emplea la t\u00e9cnica ClickFix para enga\u00f1ar a la v\u00edctima para que ejecute un comando MSHTA que ejecuta el malware del robador por medio de un script de PowerShell.<\/p>\n En las \u00faltimas semanas, Lumma Stealer tambi\u00e9n ha sido disfrazado<\/a> Como juegos de Roblox y una versi\u00f3n agrietada de la herramienta Total Commander para Windows, destacando los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a trav\u00e9s de videos de YouTube que probablemente se cargan de cuentas previamente comprometidas.<\/p>\n “Los enlaces maliciosos y los archivos infectados a menudo se disfrazan en [YouTube videos, comments, or descriptions,” Silent Push said<\/a>. “Exercising caution and being skeptical of unverified sources when interacting with YouTube content, especially when prompted to download or click on links, can help protect against these growing threats.”<\/p>\n The cybersecurity company further found that Lumma Stealer logs are being shared for free on a relatively new hacking forum called Leaky[.]Pro que fue operativo a fines de diciembre de 2024.<\/p>\n Lumma Stealer es una soluci\u00f3n de Crimeware con todas las funciones que se ofrece a la venta bajo el modelo de malware como servicio (MAAS), lo que da una forma de cosechar una amplia gama de informaci\u00f3n de hosts de Windows comprometidos. A principios de 2024, los operadores de malware anunciaron una integraci\u00f3n con un malware proxy basado en Golang llamado GhostSocks.<\/p>\n “La adici\u00f3n de una caracter\u00edstica de concentraci\u00f3n de calcetines5 a las infecciones de Lumma existentes, o cualquier malware, es altamente lucrativo para los actores de amenaza”, Infrawatch dicho<\/a>.<\/p>\n “Al aprovechar las conexiones a Internet de las v\u00edctimas, los atacantes pueden pasar por alto las restricciones geogr\u00e1ficas y las verificaciones de integridad basadas en IP, particularmente aquellas aplicadas por las instituciones financieras y otros objetivos de alto valor. Esta capacidad aumenta significativamente la probabilidad de \u00e9xito para los intentos de acceso no autorizados utilizando credenciales cosechadas a trav\u00e9s de registros de infostadores de infostadores, mejora a\u00fan m\u00e1s el valor posterior a la explotaci\u00f3n de las infecciones de lumma de Lumma” “.”<\/p>\n Las divulgaciones se producen cuando se distribuyen malware del robador como Vidar y Atomic MacOS Stealer (AMOS) utilizando el m\u00e9todo ClickFix a trav\u00e9s de se\u00f1uelos para el chatbot de inteligencia artificial (AI) Deepseek, seg\u00fan ZSCALER AMENAYLABZ<\/a> y esentire<\/a>.<\/p>\n Los ataques de phishing tambi\u00e9n se han visto abusando de un m\u00e9todo de ofuscaci\u00f3n de JavaScript que utiliza caracteres unicode invisibles para representar valores binarios, una t\u00e9cnica que era Primero documentado<\/a> en octubre de 2024.<\/p>\n El enfoque implica hacer uso de caracteres de relleno unicode, espec\u00edficamente Hangul medio ancho (u+ffa0) y hangul de ancho completo (u+3164), para representar los valores binarios 0 y 1, respectivamente, y convirtiendo cada car\u00e1cter ASCII en la carga \u00fatil de JavaScript a sus equivalentes de susgul.<\/p>\n “Los ataques fueron altamente personalizados, incluida la informaci\u00f3n no p\u00fablica, y el JavaScript inicial intentar\u00eda invocar un punto de ruptura del depurador si se analizara, detectar un retraso y luego abortar el ataque redirigiendo a un sitio web benigno”, Juniper AMENA Labs Labs dicho<\/a>.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/PDF-falsos-de-captcha-extendido-Lumma-Stealer-a-traves-de.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n