Los investigadores de ciberseguridad han descubierto una campaña de phishing generalizada que utiliza imágenes falsas de Captcha compartidas a través de documentos PDF alojados en la Red de entrega de contenido (CDN) de Webflow para entregar el malware Lumma Stealer.
Netskope Threat Labs dijo que descubrió 260 dominios únicos que alojan 5,000 archivos PDF de phishing que redirigen a las víctimas a sitios web maliciosos.
«El atacante usa SEO para engañar a las víctimas para que visiten las páginas haciendo clic en los resultados de los motores de búsqueda maliciosos», dijo el investigador de seguridad Jan Michael Alcantara en un informe compartido con Hacker News.
«Si bien la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos archivos PDF contienen captchas falsos que engañan a las víctimas para ejecutar comandos de PowerShell maliciosos, lo que finalmente conduce al malware Lumma Stealer».
Se estima que la campaña de phishing ha afectado a más de 1,150 organizaciones y más de 7,000 usuarios desde la segunda mitad de 2024, con los ataques principalmente víctimas en América del Norte, Asia y el sur de Europa en todos los sectores de tecnología, servicios financieros y fabricación.
De los 260 dominios identificados para alojar los PDF falsos, la mayoría de ellos están relacionados con el flujo web, seguidos de aquellos relacionados con GoDaddy, sorprendentemente, Wix y rápidamente.
También se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas legítimas en línea y repositorios de PDF como PDFCoffee, PDF4Pro, PDFBean e Archivo de Internet, de modo que los usuarios que buscan documentos PDF en los motores de búsqueda están dirigidos a ellos.
Los PDF contienen imágenes fraudulentas de Captcha que actúan como un conducto para robar información de la tarjeta de crédito. Alternativamente, aquellos que distribuyen Lumma Stealer contienen imágenes para descargar el documento que, cuando se hace clic, lleva a la víctima a un sitio malicioso.
Por su parte, el sitio se disfraza de una página de verificación Captcha falsa que emplea la técnica ClickFix para engañar a la víctima para que ejecute un comando MSHTA que ejecuta el malware del robador por medio de un script de PowerShell.
En las últimas semanas, Lumma Stealer también se ha disfrazado de juegos de Roblox y una versión agrietada de la herramienta Comandante Total para Windows, destacando los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a través de videos de YouTube que probablemente se cargan de cuentas previamente comprometidas.
«Los enlaces maliciosos y los archivos infectados a menudo se disfrazan en videos (YouTube), comentarios o descripciones», dijo Silent Push. «Hacer precaución y ser escéptico con las fuentes no verificadas al interactuar con el contenido de YouTube, especialmente cuando se le solicita que descargue o haga clic en los enlaces, puede ayudar a proteger contra estas crecientes amenazas».
La compañía de seguridad cibernética descubrió además que los registros de robador de Lumma se comparten de forma gratuita en un foro de piratería relativamente nuevo llamado Leaky (.) Pro que fue operativo a fines de diciembre de 2024.
Lumma Stealer es una solución de Crimeware con todas las funciones que se ofrece a la venta bajo el modelo de malware como servicio (MAAS), dando una forma para que los ciberdelincuentes cosechen una amplia gama de información de hosts de Windows comprometidos. A principios de 2024, los operadores de malware anunciaron una integración con un malware proxy basado en Golang llamado GhostSocks.
«La adición de una función de retroceso de calcetines5 a las infecciones de Lumma existentes, o cualquier malware, es altamente lucrativo para los actores de amenazas», dijo Infrawatch.
«Al aprovechar las conexiones a Internet de las víctimas, los atacantes pueden pasar por alto las restricciones geográficas y las verificaciones de integridad basadas en IP, particularmente aquellas aplicadas por las instituciones financieras y otros objetivos de alto valor. Esta capacidad aumenta significativamente la probabilidad de éxito para los intentos de acceso no autorizados utilizando credenciales cosechadas a través de registros de infostadores de infostadores, mejora aún más el valor posterior a la explotación de las infecciones de lumma de Lumma» «.»
Las divulgaciones se producen cuando se distribuyen malware de Stealer como Vidar y Atomic MacOS Stealer (AMOS) utilizando el método ClickFix a través de señuelos para el chatbot de inteligencia artificial (IA) Deepseek, según Zscaler AMANAGELABZ y ESENTIRE.
Los ataques de phishing también se han visto abusando de un método de ofuscación de JavaScript que utiliza caracteres Unicode invisibles para representar valores binarios, una técnica que se documentó por primera vez en octubre de 2024.
El enfoque implica hacer uso de caracteres de relleno unicode, específicamente Hangul medio ancho (u+ffa0) y hangul de ancho completo (u+3164), para representar los valores binarios 0 y 1, respectivamente, y convirtiendo cada carácter ASCII en la carga útil de JavaScript a sus equivalentes de susgul.
«Los ataques fueron altamente personalizados, incluida la información no pública, y el JavaScript inicial intentaría invocar un punto de interrupción del depurador si se analizara, detectara un retraso y luego abortaría el ataque redirigiendo a un sitio web benigno», dijo Juniper Threat Labs.