I ricercatori di Cybersecurity hanno scoperto una diffusa campagna di phishing che utilizza immagini captcha false condivise tramite documenti PDF ospitati sulla rete di consegna dei contenuti di Webflow (CDN) per consegnare il malware Lumma Stealer.
Netskope Menace Labs ha dichiarato di aver scoperto 260 domini unici che ospitano 5.000 file PDF di phishing che reindirizzano le vittime a siti Net dannosi.
“L’attaccante usa la search engine optimisation per ingannare le vittime nella visita delle pagine facendo clic su risultati dannosi dei motori di ricerca”, il ricercatore della sicurezza Jan Michael Alcantara disse In un rapporto condiviso con le notizie di Hacker.
“Mentre la maggior parte delle pagine di phishing si concentrano sul furto di informazioni sulla carta di credito, alcuni file PDF contengono captcha false che ingannano le vittime nell’esecuzione di comandi powershell dannosi, portando alla tremendous al malware di Lumma Stealer.”
Si stima che la campagna di phishing abbia colpito più di 1.150 organizzazioni e oltre 7000 utenti dalla seconda metà del 2024, con gli attacchi che hanno principalmente individuato le vittime in Nord America, Asia e Europa meridionale attraverso la tecnologia, i servizi finanziari e i settori manifatturiero.
Dei 260 domini identificati per ospitare i PDF falsi, la maggior parte lo sono relativo a Webflowseguito da quelli legati a GoDaddy, Sorlikingly, Wix e velocemente.
Gli aggressori sono stati anche osservati caricando alcuni dei file PDF in librerie on-line legittime e repository PDF come PDFCOFFEE, PDF4PRO, PDFBEAN e Web Archive, in modo story che gli utenti che cercano documenti PDF sui motori di ricerca siano diretti advert essi.
I PDF contengono immagini captcha fraudolente che fungono da condotto per rubare informazioni sulla carta di credito. In alternativa, quelli che distribuiscono Lumma Stealer contengono immagini per scaricare il documento che, se cliccato, porta la vittima in un sito dannoso.
Da parte sua, il sito si maschera come una falsa pagina di verifica CAPTCHA che impiega il Tecnica ClickFix ingannare la vittima nell’esecuzione di un comando MSHTA che esegue il malware del furto per mezzo di uno script PowerShell.
Nelle ultime settimane, Lumma Stealer è stato anche mascherato Come Roblox Video games e una versione rotta dello strumento Complete Commander per Home windows, mettendo in evidenza la miriade di meccanismi di consegna adottati da vari attori delle minacce. Gli utenti vengono reindirizzati a questi siti Net attraverso i video di YouTube probabilmente caricati da account precedentemente compromessi.
“I collegamenti dannosi e i file infetti sono spesso mascherati nei video (YouTube), ai commenti o alle descrizioni”, Silent Push disse. “Esercizio di cautela ed essere scettico sulle fonti non verificate quando si interagiscono con il contenuto di YouTube, soprattutto quando richiesto di scaricare o fare clic sui collegamenti, può aiutare a proteggere da queste crescenti minacce.”
La società di sicurezza informatica ha inoltre scoperto che i registri di Lumma Stealer sono stati condivisi gratuitamente su un discussion board di hacking relativamente nuovo chiamato perdite (.) Professional che è andato operativo alla tremendous di dicembre 2024.
Lumma Stealer è un Soluzione di Crimeware pienamente caratterizzata Questo è offerto in vendita con il modello Malware-As-a-Service (MAAS), che offre ai criminali informatici per raccogliere una vasta gamma di informazioni da host di Home windows compromessi. All’inizio del 2024, gli operatori di malware hanno annunciato un’integrazione con un malware proxy a base di Golang chiamato Ghostsocks.
“L’aggiunta di una funzione di backconnect Socks5 alle infezioni da Lumma esistente, o qualsiasi malware per quella materia, è altamente redditizia per gli attori delle minacce”, Infrawatch disse.
“Sfruttando le connessioni Web delle vittime, gli aggressori possono bypassare le restrizioni geografiche e i controlli di integrità basati su IP, in particolare quelli applicati da istituti finanziari e altri obiettivi di alto valore. Questa capacità aumenta significativamente la probabilità di successo per i tentativi di accesso non autorizzati usando le credenziali raccolte tramite i log degli infostatori, migliorando ulteriormente il valore post-esplosione delle infezioni di Lumma.”
Le divulgazioni sono come malware del furto come Vidar e Atomic MacOS Stealer (Amos) vengono distribuiti utilizzando il metodo ClickFix tramite esca per il chatbot di Intelligence Artificiale DeepSeek (AI), secondo Zscaler minaccialabz E esentire.
Anche gli attacchi di phishing sono stati individuati abusando di un metodo di offuscamento JavaScript che utilizza caratteri Unicode invisibili per rappresentare i valori binari, una tecnica che period Primo documentato Nell’ottobre 2024.
L’approccio prevede l’uso di caratteri di riempimento Unicode, in particolare la mezza larghezza di mezza (U+FFA0) e la larghezza completa (U+3164), per rappresentare i valori binari 0 e 1, rispettivamente e convertire ogni carattere ASCII nel payload JavaScript agli equivalenti di Hangul.
“Gli attacchi erano altamente personalizzati, comprese le informazioni non pubbliche, e il JavaScript iniziale avrebbe cercato di invocare un punto di interruzione del debugger se fosse stato analizzato, rileva un ritardo e quindi interromperà l’attacco reindirizzando su un sito Net benigno”, Juniper minaccia labs di minaccia disse.
