Massive Phishing-Kampagne nutzt gefälschte CAPTCHAs zur Verbreitung der Lumma-Stealer-Malware
Cyberkriminelle verstärken ihre Angriffe mit einer neuen groß angelegten Phishing-Kampagne, bei der die Lumma Stealer-Malware über gefälschte CAPTCHA-Bilder in PDF-Dateien übertragen wird. Laut Netskope Threat Labs sind im Rahmen dieser Kampagne bereits über 7.000 Benutzer in 1.150 Organisationen betroffen. Dabei zielten die Angreifer vor allem auf die Technologie-, Finanzdienstleistungs- und Fertigungsbranche in Nordamerika, Asien und Südeuropa ab.
Die Forscher fanden 5.000 bösartige PDFs, die auf 260 verschiedenen Domains gehostet wurden, von denen viele zu Webflow, GoDaddy, Strikingly, Wix und Fastly gehören. Die Angreifer nutzen SEO-Manipulationen, um Opfer dazu zu bringen, in den Suchmaschinenergebnissen auf diese Dokumente zu klicken. Sie werden dann auf Websites umgeleitet, die entweder Kreditkartendaten stehlen oder ihre Systeme mit der Lumma-Stealer-Malware infizieren sollen.
Table of Contents
So funktioniert der Angriff
Die Angreifer verteilen PDF-Dateien, die gefälschte CAPTCHA-Bilder enthalten. Opfer, die auf diese CAPTCHAs klicken, werden auf bösartige Websites umgeleitet, wo sie entweder zur Eingabe vertraulicher Finanzdaten verleitet werden oder durch einen PowerShell-basierten Angriff mit Malware infiziert werden.
Die Lumma-Stealer-Variante in dieser Kampagne wird über eine ClickFix-Technik bereitgestellt, die Benutzer dazu verleitet, einen MSHTA-Befehl auszuführen. Dieser Befehl führt ein verstecktes PowerShell-Skript aus, das die Lumma-Stealer-Malware herunterlädt und auf dem System des Opfers installiert.
Wichtige Taktiken dieser Kampagne
- Suchmaschinenoptimierung (SEO)-Poisoning – Schädliche PDF-Dateien werden in Online-Bibliotheken und -Repositorys wie PDFCOFFEE, PDF4PRO, PDFBean und Internet Archive hochgeladen, sodass sie in legitimen Suchergebnissen angezeigt werden.
- Gefälschte CAPTCHA-Verifizierung – Opfer, die versuchen, sich durch Anklicken des CAPTCHA zu „verifizieren“, führen unwissentlich bösartige Befehle aus.
- MSHTA- und PowerShell-Exploits – Der Angriff umgeht Sicherheitsvorkehrungen und verwendet vertrauenswürdige Windows-Dienstprogramme, um Malware auszuführen.
- Weitverbreitete Hosting-Infrastruktur – Die Phishing-PDFs sind über Hunderte von Domänen verteilt, was die Bemühungen zur Entfernung erschwert.
Lumma Stealer: Ein gefährlicher Infostealer auf dem Vormarsch
Lumma Stealer ist ein Malware-as-a-Service (MaaS)-Tool, das darauf ausgelegt ist, vertrauliche Daten von kompromittierten Windows-Rechnern zu sammeln. Es kann Anmeldeinformationen, Browser-Cookies, Krypto-Wallets und andere wertvolle Informationen stehlen.
Vor Kurzem haben die Betreiber von Lumma ihre Fähigkeiten durch die Integration mit GhostSocks erweitert, einer auf Golang basierenden Proxy-Malware. Auf diese Weise können Bedrohungsakteure die Internetverbindungen der Opfer nutzen, um geografische Beschränkungen zu umgehen und finanzielle Sicherheitsmaßnahmen zu umgehen, die unbefugten Zugriff erkennen.
Gestohlene Anmeldeinformationen und Daten aus Lumma-Infektionen werden häufig in Untergrundforen wie Leaky[.]pro geteilt, einem relativ neuen Hacking-Marktplatz, der Ende Dezember 2024 entstand.
Andere Bedrohungen, die die ClickFix-Technik nutzen
Lumma Stealer ist nicht die einzige Malware, die ClickFix-Phishing-Techniken nutzt. Forscher von Zscaler ThreatLabz und eSentire haben ähnliche Taktiken zur Verbreitung beobachtet:
- Vidar-Dieb
- Atomic macOS Stealer (AMOS)
- Schadsoftware mit DeepSeek AI-Chatbot-Thema
Darüber hinaus hat Juniper Threat Labs Phishing-Angriffe entdeckt, die Unicode-Verschleierungsmethoden verwenden, um der Erkennung zu entgehen. Diese Angriffe verbergen Binärwerte in Hangul-Zeichen (U+FFA0 und U+3164), wodurch bösartige JavaScript-Payloads für Sicherheitstools schwerer zu erkennen sind.
So schützen Sie sich vor Lumma Stealer und ähnlichen Angriffen
Angesichts der Komplexität und des Ausmaßes dieser Kampagne sollten Organisationen und Einzelpersonen unverzüglich Maßnahmen ergreifen, um ihre Cybersicherheitsabwehr zu verbessern.
- Klicken Sie nicht auf verdächtige PDF-Links – Seien Sie vorsichtig, wenn Sie PDFs aus Suchergebnissen, E-Mail-Anhängen oder unbekannten Quellen herunterladen.
- Überprüfen Sie die CAPTCHA-Seiten – Für legitime CAPTCHAs ist kein Herunterladen von Dateien oder Ausführen von Skripten erforderlich.
- Überwachen Sie Webflow und andere Hosting-Dienste – Sicherheitsteams sollten den böswilligen Gebrauch ihrer Domänen verfolgen und verdächtige Inhalte melden.
- Beschränken Sie die Ausführung von PowerShell und MSHTA – Implementieren Sie Gruppenrichtlinienbeschränkungen, um zu verhindern, dass Angreifer Windows-Tools missbrauchen, um Schadcode auszuführen.
- Informieren Sie Ihre Mitarbeiter über Phishing-Techniken – Schulen Sie Ihre Mitarbeiter darin, gefälschte CAPTCHAs, SEO-basiertes Phishing und andere Social-Engineering-Taktiken zu erkennen.
- Implementieren Sie erweiterten Bedrohungsschutz – Verwenden Sie Endpoint Detection and Response (EDR)-Lösungen, um PowerShell-Missbrauch, verdächtigen Webverkehr und Infostealer-Malware-Aktivitäten zu erkennen.
Abschließende Gedanken
Diese Phishing-Kampagne zeigt, wie Cyberkriminelle ihre Techniken zur Verbreitung von Lumma Stealer und anderer Malware weiterentwickeln. Durch die Verwendung gefälschter CAPTCHAs in PDFs, SEO-Poisoning und fortschrittlicher Verschleierungsmethoden umgehen Angreifer erfolgreich herkömmliche Sicherheitsmaßnahmen.
Da bereits Tausende von Benutzern kompromittiert wurden und die Verbreitungstaktiken von Malware zunehmen, müssen Unternehmen wachsam bleiben, ihre Mitarbeiter schulen und strenge Sicherheitsmaßnahmen implementieren, um sich gegen diese sich entwickelnden Bedrohungen zu verteidigen.
