Massiv phishing-kampagne bruger falske CAPTCHA'er til at sprede Lumma Stealer-malware

Cyberkriminelle optrapper deres spil med en ny storstilet phishing-kampagne, der leverer Lumma Stealer malware gennem falske CAPTCHA-billeder indlejret i PDF-filer. Ifølge Netskope Threat Labs har denne kampagne allerede kompromitteret over 7.000 brugere på tværs af 1.150 organisationer, hovedsageligt rettet mod teknologi, finansielle tjenester og fremstillingssektoren i Nordamerika, Asien og Sydeuropa.

Forskere fandt 5.000 ondsindede PDF'er hostet på 260 forskellige domæner, hvoraf mange tilhører Webflow, GoDaddy, Strikingly, Wix og Fastly. Angriberne bruger SEO-manipulation til at narre ofrene til at klikke på disse dokumenter fra søgemaskinens resultater, og i sidste ende omdirigere dem til websteder designet til enten at stjæle kreditkortoplysninger eller inficere deres systemer med Lumma Stealer malware.

Hvordan angrebet fungerer

Angriberne distribuerer PDF-filer, der indeholder falske CAPTCHA-billeder. Ofre, der klikker på disse CAPTCHA'er, bliver omdirigeret til ondsindede websteder, hvor de enten bliver narret til at indtaste følsomme økonomiske detaljer eller er inficeret med malware gennem et PowerShell-baseret angreb.

Lumma Stealer-varianten i denne kampagne er implementeret gennem en ClickFix-teknik, som narre brugere til at udføre en MSHTA-kommando. Denne kommando kører et skjult PowerShell-script, der downloader og installerer Lumma Stealer-malwaren på offerets system.

Nøgletaktik brugt i denne kampagne

  • Search Engine Optimization (SEO)-forgiftning – Ondsindede PDF-filer uploades til onlinebiblioteker og -depoter som PDFCOFFEE, PDF4PRO, PDFBean og Internet Archive, hvilket får dem til at blive vist i legitime søgeresultater.
  • Falsk CAPTCHA-bekræftelse – Ofre, der forsøger at "verificere" sig selv ved at klikke på CAPTCHA, udfører ubevidst ondsindede kommandoer.
  • MSHTA- og PowerShell-udnyttelse – Angrebet omgår sikkerhedsforsvar ved hjælp af pålidelige Windows-værktøjer til at køre malware.
  • Udbredt hostinginfrastruktur – Phishing-PDF-filerne er spredt over hundredvis af domæner , hvilket gør fjernelsesarbejdet mere udfordrende.

Lumma Stealer: A Dangerous Infostealer on the Rise

Lumma Stealer er et Malware-as-a-Service (MaaS)-værktøj designet til at høste følsomme data fra kompromitterede Windows-maskiner. Det kan stjæle loginoplysninger, browsercookies, kryptotegnebøger og andre værdifulde oplysninger.

For nylig udvidede Lumma-operatører sine muligheder ved at integrere med GhostSocks, en Golang-baseret proxy-malware. Dette giver trusselsaktører mulighed for at udnytte ofres internetforbindelser til at omgå geografiske begrænsninger og unddrage sig økonomiske sikkerhedsforanstaltninger, der opdager uautoriseret adgang.

Stjålne legitimationsoplysninger og data fra Lumma-infektioner deles ofte på underjordiske fora som Leaky[.]pro, en relativt ny hacking-markedsplads, der dukkede op i slutningen af december 2024.

Andre trusler, der udnytter ClickFix-teknikken

Lumma Stealer er ikke den eneste malware, der udnytter ClickFix-phishing-teknikker. Forskere fra Zscaler ThreatLabz og eSentire har observeret lignende taktikker, der bruges til at distribuere:

  • Vidar Stealer
  • Atomic macOS Stealer (AMOS)
  • DeepSeek AI Chatbot-malware

Derudover har Juniper Threat Labs opdaget phishing-angreb ved hjælp af Unicode-tilsløringsmetoder for at undgå opdagelse. Disse angreb skjuler binære værdier i Hangul-tegn (U+FFA0 og U+3164), hvilket gør skadelige JavaScript-nyttelaster sværere for sikkerhedsværktøjer at opdage.

Sådan beskytter du dig selv mod Lumma Stealer og lignende angreb

I betragtning af denne kampagnes sofistikerede og omfangsrige omfang bør organisationer og enkeltpersoner straks tage skridt til at forbedre deres cybersikkerhedsforsvar.

  • Undgå at klikke på mistænkelige PDF-links – Vær forsigtig, når du downloader PDF-filer fra søgeresultater, vedhæftede filer i e-mails eller ukendte kilder.
  • Bekræft CAPTCHA-sider – Legitime CAPTCHA'er kræver ikke download af filer eller kørsel af scripts.
  • Overvåg webflow og andre hostingtjenester – Sikkerhedsteams bør spore ondsindet brug af deres domæner og rapportere mistænkeligt indhold.
  • Begræns PowerShell- og MSHTA-udførelse – Implementer gruppepolitikbegrænsninger for at forhindre angribere i at misbruge Windows-værktøjer til at køre ondsindet kode.
  • Uddan medarbejderne i phishing-teknikker – Træn personalet til at genkende falske CAPTCHA'er, SEO-baseret phishing og andre sociale teknikker.
  • Implementer Advanced Threat Protection – Brug EDR-løsninger (endpoint detection and response) til at opdage PowerShell-misbrug, mistænkelig webtrafik og infostealer malware-aktivitet.

Afsluttende tanker

Denne phishing-kampagne fremhæver, hvordan cyberkriminelle udvikler deres teknikker til at distribuere Lumma Stealer og anden malware. Ved at bruge falske CAPTCHA'er i PDF'er, SEO-forgiftning og avancerede sløringsmetoder, omgår angribere med succes traditionelle sikkerhedsforanstaltninger.

Med tusindvis af brugere, der allerede er kompromitteret, og malware-distributionstaktik udvides, skal virksomheder være på vagt, uddanne medarbejdere og implementere stærke sikkerhedsforanstaltninger for at forsvare sig mod disse udviklende trusler.

I Zane
February 28, 2025
Computer Security
Dansk
February 28, 2025
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.