Η μαζική καμπάνια ηλεκτρονικού ψαρέματος χρησιμοποιεί πλαστά CAPTCHA για τη διάδοση κακόβουλου λογισμικού Lumma Stealer

Οι εγκληματίες του κυβερνοχώρου ενισχύουν το παιχνίδι τους με μια νέα μεγάλης κλίμακας καμπάνια phishing που παρέχει το κακόβουλο λογισμικό Lumma Stealer μέσω ψεύτικων εικόνων CAPTCHA που είναι ενσωματωμένες σε αρχεία PDF. Σύμφωνα με το Netskope Threat Labs, αυτή η καμπάνια έχει ήδη θέσει σε κίνδυνο περισσότερους από 7.000 χρήστες σε 1.150 οργανισμούς, στοχεύοντας κυρίως τους τομείς της τεχνολογίας, των χρηματοοικονομικών υπηρεσιών και της κατασκευής στη Βόρεια Αμερική, την Ασία και τη Νότια Ευρώπη.

Οι ερευνητές βρήκαν 5.000 κακόβουλα αρχεία PDF που φιλοξενούνται σε 260 διαφορετικούς τομείς, πολλοί από τους οποίους ανήκουν στους Webflow, GoDaddy, Strikingly, Wix και Fastly. Οι εισβολείς χρησιμοποιούν χειραγώγηση SEO για να ξεγελάσουν τα θύματα ώστε να κάνουν κλικ σε αυτά τα έγγραφα από τα αποτελέσματα των μηχανών αναζήτησης, ανακατευθύνοντάς τα τελικά σε ιστότοπους που έχουν σχεδιαστεί είτε για να κλέψουν στοιχεία πιστωτικής κάρτας είτε να μολύνουν τα συστήματά τους με κακόβουλο λογισμικό Lumma Stealer.

Πώς λειτουργεί η επίθεση

Οι εισβολείς διανέμουν αρχεία PDF που περιέχουν ψεύτικες εικόνες CAPTCHA. Τα θύματα που κάνουν κλικ σε αυτά τα CAPTCHA ανακατευθύνονται σε κακόβουλους ιστότοπους όπου είτε εξαπατούνται ώστε να εισάγουν ευαίσθητες οικονομικές λεπτομέρειες είτε μολύνονται με κακόβουλο λογισμικό μέσω μιας επίθεσης που βασίζεται στο PowerShell.

Η παραλλαγή Lumma Stealer σε αυτήν την καμπάνια αναπτύσσεται μέσω μιας τεχνικής ClickFix, η οποία εξαπατά τους χρήστες να εκτελέσουν μια εντολή MSHTA. Αυτή η εντολή εκτελεί ένα κρυφό σενάριο PowerShell που κατεβάζει και εγκαθιστά το κακόβουλο λογισμικό Lumma Stealer στο σύστημα του θύματος.

Βασικές τακτικές που χρησιμοποιούνται σε αυτήν την καμπάνια

  • Δηλητηρίαση βελτιστοποίησης μηχανών αναζήτησης (SEO) – Τα κακόβουλα αρχεία PDF μεταφορτώνονται σε διαδικτυακές βιβλιοθήκες και αποθετήρια όπως τα PDFCOFFEE, PDF4PRO, PDFBean και Internet Archive, με αποτέλεσμα να εμφανίζονται σε νόμιμα αποτελέσματα αναζήτησης.
  • Ψεύτικη επαλήθευση CAPTCHA – Τα θύματα που επιχειρούν να «επαληθεύσουν» τον εαυτό τους κάνοντας κλικ στο CAPTCHA εκτελούν εν αγνοία τους κακόβουλες εντολές.
  • MSHTA και PowerShell Exploits – Η επίθεση παρακάμπτει τις άμυνες ασφαλείας χρησιμοποιώντας αξιόπιστα βοηθητικά προγράμματα των Windows για την εκτέλεση κακόβουλου λογισμικού.
  • Ευρέως διαδεδομένη υποδομή φιλοξενίας – Τα αρχεία phishing PDF κατανέμονται σε εκατοντάδες τομείς , καθιστώντας τις προσπάθειες κατάργησης πιο δύσκολες.

Lumma Stealer: A Dangerous Infostealer on the Rise

Το Lumma Stealer είναι ένα εργαλείο Malware-as-a-Service (MaaS) που έχει σχεδιαστεί για τη συλλογή ευαίσθητων δεδομένων από παραβιασμένες μηχανές Windows. Μπορεί να κλέψει διαπιστευτήρια σύνδεσης, cookies προγράμματος περιήγησης, πορτοφόλια κρυπτογράφησης και άλλες πολύτιμες πληροφορίες.

Πρόσφατα, οι χειριστές Lumma επέκτεισαν τις δυνατότητές του ενσωματώνοντας το GhostSocks, ένα κακόβουλο λογισμικό μεσολάβησης που βασίζεται στο Golang. Αυτό επιτρέπει στους φορείς απειλών να αξιοποιήσουν τις συνδέσεις των θυμάτων στο διαδίκτυο για να παρακάμψουν τους γεωγραφικούς περιορισμούς και να αποφύγουν τα μέτρα οικονομικής ασφάλειας που εντοπίζουν μη εξουσιοδοτημένη πρόσβαση.

Τα κλεμμένα διαπιστευτήρια και τα δεδομένα από μολύνσεις Lumma κοινοποιούνται συχνά σε υπόγεια φόρουμ όπως το Leaky[.]pro, μια σχετικά νέα αγορά hacking που εμφανίστηκε στα τέλη Δεκεμβρίου 2024.

Άλλες απειλές που αξιοποιούν την τεχνική ClickFix

Το Lumma Stealer δεν είναι το μόνο κακόβουλο λογισμικό που εκμεταλλεύεται τις τεχνικές phishing του ClickFix. Ερευνητές από το Zscaler ThreatLabz και το eSentire έχουν παρατηρήσει παρόμοιες τακτικές που χρησιμοποιούνται για τη διανομή:

  • Vidar Stealer
  • Atomic macOS Stealer (AMOS)
  • Κακόβουλο λογισμικό με θέμα το DeepSeek AI Chatbot

Επιπλέον, η Juniper Threat Labs εντόπισε επιθέσεις phishing χρησιμοποιώντας μεθόδους συσκότισης Unicode για να αποφύγει τον εντοπισμό. Αυτές οι επιθέσεις κρύβουν δυαδικές τιμές μέσα σε χαρακτήρες Hangul (U+FFA0 και U+3164), καθιστώντας τα κακόβουλα ωφέλιμα φορτία JavaScript πιο δύσκολο για τον εντοπισμό των εργαλείων ασφαλείας.

Πώς να προστατεύσετε τον εαυτό σας από Lumma Stealer και παρόμοιες επιθέσεις

Δεδομένης της πολυπλοκότητας και της κλίμακας αυτής της εκστρατείας, οργανισμοί και άτομα θα πρέπει να λάβουν άμεση δράση για να ενισχύσουν την άμυνά τους στον κυβερνοχώρο.

  • Αποφύγετε να κάνετε κλικ σε ύποπτους συνδέσμους PDF – Να είστε προσεκτικοί κατά τη λήψη αρχείων PDF από αποτελέσματα αναζήτησης, συνημμένα email ή άγνωστες πηγές.
  • Επαλήθευση σελίδων CAPTCHA – Οι νόμιμοι CAPTCHA δεν απαιτούν λήψη αρχείων ή εκτέλεση σεναρίων.
  • Παρακολούθηση ροής ιστού και άλλων υπηρεσιών φιλοξενίας – Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν την κακόβουλη χρήση των τομέων τους και να αναφέρουν ύποπτο περιεχόμενο.
  • Περιορίστε την εκτέλεση PowerShell και MSHTA – Εφαρμόστε περιορισμούς πολιτικής ομάδας για να αποτρέψετε τους εισβολείς από την κατάχρηση των εργαλείων των Windows για την εκτέλεση κακόβουλου κώδικα.
  • Εκπαιδεύστε τους υπαλλήλους σχετικά με τις τεχνικές ψαρέματος – Εκπαιδεύστε το προσωπικό να αναγνωρίζει πλαστά CAPTCHA, ηλεκτρονικό ψάρεμα που βασίζεται σε SEO και άλλες τακτικές κοινωνικής μηχανικής.
  • Αναπτύξτε προηγμένη προστασία από απειλές – Χρησιμοποιήστε λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) για να εντοπίσετε την κατάχρηση του PowerShell, την ύποπτη κυκλοφορία στον ιστό και τη δραστηριότητα κακόβουλου λογισμικού κλοπής πληροφοριών.

Τελικές Σκέψεις

Αυτή η καμπάνια phishing υπογραμμίζει τον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου εξελίσσουν τις τεχνικές τους για τη διανομή του Lumma Stealer και άλλων κακόβουλων προγραμμάτων. Χρησιμοποιώντας πλαστά CAPTCHA σε αρχεία PDF, δηλητηρίαση SEO και προηγμένες μεθόδους συσκότισης, οι εισβολείς παρακάμπτουν με επιτυχία τα παραδοσιακά μέτρα ασφαλείας.

Με χιλιάδες χρήστες ήδη σε κίνδυνο και τις τακτικές διανομής κακόβουλου λογισμικού να επεκτείνονται, οι επιχειρήσεις πρέπει να παραμείνουν σε εγρήγορση, να εκπαιδεύσουν τους υπαλλήλους και να εφαρμόσουν ισχυρά μέτρα ασφαλείας για να αμυνθούν έναντι αυτών των εξελισσόμενων απειλών.

Μέχρι το Zane
February 28, 2025
Computer Security
Ελληνικά
February 28, 2025
Computer Security

Δημοφιλείς Αναρτήσεις

Τι είναι το Αρχείο OperaGXSetup.exe και είναι κακόβουλο;

11 months πριν

Eporner.com Και γιατί τα υπερβολικά αναδυόμενα παράθυρά του...

12 days πριν

Σημείωση: Κάποιος σας πρόσθεσε ως απάτη μέσω email ανάκτησης

10 months πριν

HackTool:Win32/Crack: μια κακόβουλη απειλή που μπορεί να...

7 months πριν

Μια δυνητικά σοβαρή απειλή: Trojan:Win32/Suschil!rfn

19 days πριν

Τι είναι η απειλή του δούρειου ίππου Packunwan και πώς μπορεί...

11 months πριν
Ελληνικά
Φόρτωση...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Σπίτι

Προϊόντα

Cyclonis Password Manager Cyclonis World Time

Υποστήριξη

Βοήθεια αρχείων Συχνές ερωτήσεις Downloads Inquiries & Support

Εταιρία

Σχετικά με εμάς Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Πολιτική Απορρήτου Πολιτική cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Τα Windows είναι εμπορικό σήμα της Microsoft, καταχωρημένο στις ΗΠΑ και σε άλλες χώρες.
Τα Mac, iPhone, iPad και App Store είναι εμπορικά σήματα της Apple Inc., καταχωρημένα στις ΗΠΑ και σε άλλες χώρες.
Το iOS είναι κατοχυρωμένο εμπορικό σήμα της Cisco Systems, Inc. ή/και των θυγατρικών της στις Ηνωμένες Πολιτείες και ορισμένες άλλες χώρες.
Το Android και το Google Play είναι εμπορικά σήματα της Google LLC.