Los PDF CAPTCHA falsos difunden Lumma Stealer a través de Webflow, GoDaddy y otros dominios

Los investigadores de ciberseguridad han descubierto una campaña de phishing generalizada que utiliza imágenes CAPTCHA falsas compartidas a través de documentos PDF alojados en la red de distribución de contenido (CDN) de Webflow para distribuir el malware ladrón Lumma.

Netskope Threat Labs afirmó haber descubierto 260 dominios únicos que albergan 5.000 archivos PDF de phishing que redirigen a las víctimas a sitios web maliciosos.

«El atacante utiliza SEO para engañar a las víctimas para que visiten las páginas haciendo clic en resultados de motores de búsqueda maliciosos», dijo el investigador de seguridad Jan Michael Alcantara en un informe compartido con The Hacker News.

«Si bien la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos archivos PDF contienen CAPTCHA falsos que engañan a las víctimas para que ejecuten comandos maliciosos de PowerShell, lo que finalmente conduce al malware Lumma Stealer».

Se estima que la campaña de phishing ha afectado a más de 1.150 organizaciones y más de 7.000 usuarios desde la segunda mitad de 2024, y los ataques apuntaron principalmente a víctimas en América del Norte, Asia y el sur de Europa en los sectores de tecnología, servicios financieros y fabricación.

De los 260 dominios identificados para alojar los PDF falsos, la mayoría de ellos están relacionados con Webflow , seguido por los relacionados con GoDaddy, Strikingly, Wix y Fastly.

También se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas en línea y repositorios de PDF legítimos como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, de modo que los usuarios que buscan documentos PDF en motores de búsqueda son dirigidos a ellos.

Los PDF contienen imágenes CAPTCHA fraudulentas que actúan como un conducto para robar información de tarjetas de crédito. Por otra parte, quienes distribuyen Lumma Stealer contienen imágenes para descargar el documento que, al hacer clic, lleva a la víctima a un sitio malicioso.

Por su parte, el sitio se hace pasar por una página falsa de verificación CAPTCHA que emplea la técnica ClickFix para engañar a la víctima y hacer que ejecute un comando MSHTA que ejecuta el malware ladrón mediante un script de PowerShell.

En las últimas semanas, Lumma Stealer también se ha camuflado como juegos de Roblox y una versión pirateada de la herramienta Total Commander para Windows, lo que pone de relieve los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a través de videos de YouTube probablemente subidos desde cuentas previamente comprometidas.

«Los enlaces maliciosos y los archivos infectados suelen estar camuflados en [los vídeos, comentarios o descripciones de YouTube]», afirmó Silent Push . «Tener precaución y ser escéptico con las fuentes no verificadas al interactuar con el contenido de YouTube, especialmente cuando se le solicita que descargue o haga clic en enlaces, puede ayudar a protegerse contra estas amenazas crecientes».

La empresa de ciberseguridad descubrió además que los registros de Lumma Stealer se comparten de forma gratuita en un foro de piratería relativamente nuevo llamado Leaky[.]pro que comenzó a funcionar a fines de diciembre de 2024.

Lumma Stealer es una solución de software contra el delito con todas las funciones que se ofrece a la venta bajo el modelo de malware como servicio (MaaS), lo que permite recopilar una amplia gama de información de los hosts de Windows comprometidos. A principios de 2024, los operadores de malware anunciaron una integración con un malware proxy basado en Golang llamado GhostSocks.

«La incorporación de una función de retroconexión SOCKS5 a las infecciones Lumma existentes, o a cualquier malware, es muy lucrativa para los actores de amenazas», afirmó Infrawatch .

«Al aprovechar las conexiones a Internet de las víctimas, los atacantes pueden eludir las restricciones geográficas y los controles de integridad basados en IP, en particular los que aplican las instituciones financieras y otros objetivos de alto valor. Esta capacidad aumenta significativamente la probabilidad de éxito de los intentos de acceso no autorizados mediante credenciales obtenidas a través de registros de robo de información, lo que mejora aún más el valor posterior a la explotación de las infecciones de Lumma».

Las revelaciones se producen mientras malware ladrón como Vidar y Atomic macOS Stealer ( AMOS ) se distribuyen utilizando el método ClickFix a través de señuelos para el chatbot de inteligencia artificial (IA) DeepSeek, según Zscaler ThreatLabz y eSentire .

También se han detectado ataques de phishing que abusan de un método de ofuscación de JavaScript que utiliza caracteres Unicode invisibles para representar valores binarios, una técnica que se documentó por primera vez en octubre de 2024.

El enfoque implica hacer uso de caracteres de relleno Unicode, específicamente Hangul de ancho medio (U+FFA0) y Hangul de ancho completo (U+3164), para representar los valores binarios 0 y 1, respectivamente, y convertir cada carácter ASCII en la carga útil de JavaScript en sus equivalentes Hangul.

«Los ataques fueron altamente personalizados, incluyeron información no pública y el JavaScript inicial intentaría invocar un punto de interrupción del depurador si estuviera siendo analizado, detectaría un retraso y luego abortaría el ataque redirigiendo a un sitio web benigno», dijo Juniper Threat Labs.

Fuente y redacción: thehackernews.com

La IA desempeñará un papel clave en los futuros ataques de phishing

GoDaddy se disculpa por engañar a sus empleados con una prueba de Phishing.

Nuevo grupo de piratas informáticos dirigidos a empresas con ataques cibernéticos motivados financieramente.