Los investigadores de ciberseguridad han descubierto una campaña de phishing generalizada que utiliza imágenes falsas de Captcha compartidas a través de documentos PDF alojados en la Red de entrega de contenido (CDN) de Webflow para entregar el malware Lumma Stealer.
Netskope Threat Labs dijo que descubrió 260 dominios únicos que alojan 5,000 archivos PDF de phishing que redirigen a las víctimas a sitios web maliciosos.
“El atacante usa SEO para engañar a las víctimas para que visiten las páginas haciendo clic en los resultados de los motores de búsqueda maliciosos”, dijo el investigador de seguridad Jan Michael Alcantara en un documentación compartido con Hacker News.
“Si admisiblemente la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos archivos PDF contienen captchas falsos que engañan a las víctimas para ejecutar comandos de PowerShell maliciosos, lo que finalmente conduce al malware Lumma Stealer”.
Se estima que la campaña de phishing ha afectado a más de 1,150 organizaciones y más de 7,000 usuarios desde la segunda fracción de 2024, con los ataques principalmente víctimas en América del Meta, Asia y el sur de Europa en todos los sectores de tecnología, servicios financieros y fabricación.
De los 260 dominios identificados para meter los PDF falsos, la mayoría de ellos están relacionados con el flujo web, seguidos de aquellos relacionados con GoDaddy, sorprendentemente, Wix y rápidamente.
Asimismo se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas legítimas en ruta y repositorios de PDF como PDFCoffee, PDF4Pro, PDFBean e Archivo de Internet, de modo que los usuarios que buscan documentos PDF en los motores de búsqueda están dirigidos a ellos.
Los PDF contienen imágenes fraudulentas de Captcha que actúan como un conducto para robar información de la plástico de crédito. Alternativamente, aquellos que distribuyen Lumma Stealer contienen imágenes para descargar el documento que, cuando se hace clic, lleva a la víctima a un sitio sagaz.
Por su parte, el sitio se disfraza de una página de comprobación Captcha falsa que emplea la técnica ClickFix para engañar a la víctima para que ejecute un comando MSHTA que ejecuta el malware del robador por medio de un script de PowerShell.
En las últimas semanas, Lumma Stealer asimismo se ha disfrazado de juegos de Roblox y una traducción agrietada de la aparejo Comandante Total para Windows, destacando los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a través de videos de YouTube que probablemente se cargan de cuentas previamente comprometidas.
“Los enlaces maliciosos y los archivos infectados a menudo se disfrazan en videos (YouTube), comentarios o descripciones”, dijo Silent Push. “Hacer precaución y ser escéptico con las fuentes no verificadas al interactuar con el contenido de YouTube, especialmente cuando se le solicita que descargue o haga clic en los enlaces, puede ayudar a proteger contra estas crecientes amenazas”.
La compañía de seguridad cibernética descubrió encima que los registros de robador de Lumma se comparten de forma gratuita en un foro de piratería relativamente nuevo llamado Leaky (.) Pro que fue operante a fines de diciembre de 2024.
Lumma Stealer es una opción de Crimeware con todas las funciones que se ofrece a la saldo bajo el maniquí de malware como servicio (MAAS), dando una forma para que los ciberdelincuentes cosechen una amplia gradación de información de hosts de Windows comprometidos. A principios de 2024, los operadores de malware anunciaron una integración con un malware proxy basado en Golang llamado GhostSocks.
“La añadidura de una función de retroceso de calcetines5 a las infecciones de Lumma existentes, o cualquier malware, es mucho rentable para los actores de amenazas”, dijo Infrawatch.
“Al disfrutar las conexiones a Internet de las víctimas, los atacantes pueden tener lugar por parada las restricciones geográficas y las verificaciones de integridad basadas en IP, particularmente aquellas aplicadas por las instituciones financieras y otros objetivos de parada valencia. Esta capacidad aumenta significativamente la probabilidad de éxito para los intentos de acercamiento no autorizados utilizando credenciales cosechadas a través de registros de infostadores de infostadores, alivio aún más el valencia posterior a la explotación de las infecciones de lumma de Lumma” “.”
Las divulgaciones se producen cuando se distribuyen malware de Stealer como Vidar y Atomic MacOS Stealer (AMOS) utilizando el método ClickFix a través de señuelos para el chatbot de inteligencia químico (IA) Deepseek, según Zscaler AMANAGELABZ y ESENTIRE.
Los ataques de phishing asimismo se han gastado abusando de un método de ofuscación de JavaScript que utiliza caracteres Unicode invisibles para representar títulos binarios, una técnica que se documentó por primera vez en octubre de 2024.
El enfoque implica hacer uso de caracteres de relleno unicode, específicamente Hangul medio orgulloso (u+ffa0) y hangul de orgulloso completo (u+3164), para representar los títulos binarios 0 y 1, respectivamente, y convirtiendo cada carácter ASCII en la carga útil de JavaScript a sus equivalentes de susgul.
“Los ataques fueron mucho personalizados, incluida la información no pública, y el JavaScript auténtico intentaría invocar un punto de interrupción del depurador si se analizara, detectara un retraso y luego abortaría el ataque redirigiendo a un sitio web bienintencionado”, dijo Juniper Threat Labs.
