Una campaña masiva de phishing utiliza CAPTCHAs falsos para difundir el malware Lumma Stealer

Los cibercriminales están intensificando su estrategia con una nueva campaña de phishing a gran escala que distribuye el malware Lumma Stealer a través de imágenes CAPTCHA falsas incrustadas en archivos PDF. Según Netskope Threat Labs, esta campaña ya ha comprometido a más de 7000 usuarios de 1150 organizaciones, principalmente en los sectores de tecnología, servicios financieros y fabricación en América del Norte, Asia y el sur de Europa.

Los investigadores encontraron 5.000 archivos PDF maliciosos alojados en 260 dominios diferentes, muchos de los cuales pertenecen a Webflow, GoDaddy, Strikingly, Wix y Fastly. Los atacantes utilizan la manipulación SEO para engañar a las víctimas para que hagan clic en estos documentos desde los resultados de los motores de búsqueda, y finalmente los redirigen a sitios diseñados para robar datos de tarjetas de crédito o infectar sus sistemas con el malware Lumma Stealer.

Cómo funciona el ataque

Los atacantes distribuyen archivos PDF que contienen imágenes CAPTCHA falsas. Las víctimas que hacen clic en estos CAPTCHA son redirigidas a sitios web maliciosos donde son engañadas para que ingresen detalles financieros confidenciales o son infectadas con malware a través de un ataque basado en PowerShell.

La variante Lumma Stealer de esta campaña se implementa mediante una técnica ClickFix, que engaña a los usuarios para que ejecuten un comando MSHTA. Este comando ejecuta un script de PowerShell oculto que descarga e instala el malware Lumma Stealer en el sistema de la víctima.

Tácticas clave utilizadas en esta campaña

  • Envenenamiento por optimización de motores de búsqueda (SEO) : se cargan archivos PDF maliciosos en bibliotecas y repositorios en línea como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, lo que hace que aparezcan en resultados de búsqueda legítimos.
  • Verificación CAPTCHA falsa : las víctimas que intentan "verificarse" haciendo clic en el CAPTCHA ejecutan comandos maliciosos sin saberlo.
  • Exploits de MSHTA y PowerShell : el ataque elude las defensas de seguridad utilizando utilidades confiables de Windows para ejecutar malware.
  • Infraestructura de alojamiento generalizada : los PDF de phishing se distribuyen en cientos de dominios , lo que dificulta aún más los esfuerzos de eliminación.

Lumma Stealer: un peligroso ladrón de información en ascenso

Lumma Stealer es una herramienta de malware como servicio (MaaS) diseñada para recopilar datos confidenciales de equipos Windows afectados. Puede robar credenciales de inicio de sesión, cookies del navegador, billeteras de criptomonedas y otra información valiosa.

Recientemente, los operadores de Lumma ampliaron sus capacidades al integrarse con GhostSocks, un malware proxy basado en Golang. Esto permite a los actores de amenazas aprovechar las conexiones a Internet de las víctimas para eludir las restricciones geográficas y las medidas de seguridad financiera que detectan el acceso no autorizado.

Las credenciales y los datos robados de las infecciones de Lumma se comparten con frecuencia en foros clandestinos como Leaky[.]pro, un mercado de piratería relativamente nuevo que surgió a fines de diciembre de 2024.

Otras amenazas que aprovechan la técnica ClickFix

Lumma Stealer no es el único malware que explota las técnicas de phishing de ClickFix. Los investigadores de Zscaler ThreatLabz y eSentire han observado tácticas similares utilizadas para distribuir:

  • Ladrón de vidar
  • Ladrón atómico de macOS (AMOS)
  • Malware con temática de chatbot de DeepSeek AI

Además, Juniper Threat Labs ha detectado ataques de phishing que utilizan métodos de ofuscación Unicode para evadir la detección. Estos ataques ocultan valores binarios dentro de caracteres Hangul (U+FFA0 y U+3164), lo que dificulta la detección de cargas útiles de JavaScript maliciosas por parte de las herramientas de seguridad.

Cómo protegerse de Lumma Stealer y ataques similares

Dada la sofisticación y la escala de esta campaña, las organizaciones y las personas deben tomar medidas inmediatas para mejorar sus defensas de ciberseguridad.

  • Evite hacer clic en enlaces PDF sospechosos: tenga cuidado al descargar archivos PDF de resultados de búsqueda, archivos adjuntos de correo electrónico o fuentes desconocidas.
  • Verificar páginas CAPTCHA: los CAPTCHA legítimos no requieren descargar archivos ni ejecutar scripts.
  • Supervisar Webflow y otros servicios de alojamiento: los equipos de seguridad deben rastrear el uso malicioso de sus dominios y denunciar el contenido sospechoso.
  • Restringir la ejecución de PowerShell y MSHTA: implemente restricciones de política de grupo para evitar que los atacantes abusen de las herramientas de Windows para ejecutar código malicioso.
  • Eduque a los empleados sobre técnicas de phishing: capacite al personal para reconocer CAPTCHAs falsos, phishing basado en SEO y otras tácticas de ingeniería social.
  • Implemente protección avanzada contra amenazas: use soluciones de detección y respuesta de puntos finales (EDR) para detectar abusos de PowerShell, tráfico web sospechoso y actividad de malware de robo de información.

Reflexiones finales

Esta campaña de phishing pone de relieve cómo los cibercriminales están desarrollando sus técnicas para distribuir Lumma Stealer y otros programas maliciosos. Mediante el uso de CAPTCHA falsos en archivos PDF, envenenamiento de SEO y métodos avanzados de ofuscación, los atacantes logran eludir las medidas de seguridad tradicionales.

Con miles de usuarios ya comprometidos y tácticas de distribución de malware en expansión, las empresas deben permanecer alertas, educar a los empleados e implementar fuertes medidas de seguridad para defenderse contra estas amenazas en evolución.

En Zane
February 28, 2025
Computer Security
Spanish
February 28, 2025
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.