Una massiccia campagna di phishing utilizza falsi CAPTCHA per diffondere il malware Lumma Stealer

I criminali informatici stanno intensificando il loro gioco con una nuova campagna di phishing su larga scala che distribuisce il malware Lumma Stealer tramite false immagini CAPTCHA incorporate nei file PDF. Secondo Netskope Threat Labs, questa campagna ha già compromesso oltre 7.000 utenti in 1.150 organizzazioni, prendendo di mira principalmente i settori della tecnologia, dei servizi finanziari e della produzione in Nord America, Asia ed Europa meridionale.

I ricercatori hanno trovato 5.000 PDF dannosi ospitati su 260 domini diversi, molti dei quali appartengono a Webflow, GoDaddy, Strikingly, Wix e Fastly. Gli aggressori utilizzano la manipolazione SEO per indurre le vittime a cliccare su questi documenti dai risultati dei motori di ricerca, reindirizzandoli infine a siti progettati per rubare i dettagli della carta di credito o infettare i loro sistemi con il malware Lumma Stealer.

Come funziona l'attacco

Gli aggressori distribuiscono file PDF che contengono immagini CAPTCHA false. Le vittime che cliccano su questi CAPTCHA vengono reindirizzate a siti Web dannosi dove vengono ingannate e indotte a immettere dati finanziari sensibili o vengono infettate da malware tramite un attacco basato su PowerShell.

La variante Lumma Stealer in questa campagna viene distribuita tramite una tecnica ClickFix, che inganna gli utenti inducendoli a eseguire un comando MSHTA. Questo comando esegue uno script PowerShell nascosto che scarica e installa il malware Lumma Stealer sul sistema della vittima.

Tattiche chiave utilizzate in questa campagna

  • Avvelenamento da ottimizzazione per i motori di ricerca (SEO) : i PDF dannosi vengono caricati su librerie e repository online come PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, facendoli comparire nei risultati di ricerca legittimi.
  • Verifica CAPTCHA falsa : le vittime che tentano di "verificare" se stesse cliccando sul CAPTCHA eseguono inconsapevolmente comandi dannosi.
  • MSHTA e PowerShell Exploits : l'attacco aggira le difese di sicurezza utilizzando utility Windows affidabili per eseguire malware.
  • Infrastruttura di hosting diffusa : i PDF di phishing sono distribuiti su centinaia di domini , rendendo più difficili gli sforzi di rimozione.

Lumma Stealer: un pericoloso Infostealer in ascesa

Lumma Stealer è uno strumento Malware-as-a-Service (MaaS) progettato per raccogliere dati sensibili da macchine Windows compromesse. Può rubare credenziali di accesso, cookie del browser, portafogli crittografici e altre informazioni preziose.

Di recente, gli operatori di Lumma hanno ampliato le sue capacità integrandosi con GhostSocks, un malware proxy basato su Golang. Ciò consente agli autori delle minacce di sfruttare le connessioni Internet delle vittime per aggirare le restrizioni geografiche ed eludere le misure di sicurezza finanziaria che rilevano l'accesso non autorizzato.

Credenziali e dati rubati dalle infezioni Lumma vengono spesso condivisi su forum underground come Leaky[.]pro, un mercato di hacker relativamente nuovo emerso alla fine di dicembre 2024.

Altre minacce che sfruttano la tecnica ClickFix

Lumma Stealer non è l'unico malware che sfrutta le tecniche di phishing di ClickFix. I ricercatori di Zscaler ThreatLabz ed eSentire hanno osservato tattiche simili utilizzate per distribuire:

  • Ladro di Vidar
  • Stealer atomico di macOS (AMOS)
  • Malware a tema chatbot di DeepSeek AI

Inoltre, Juniper Threat Labs ha individuato attacchi di phishing che utilizzano metodi di offuscamento Unicode per eludere il rilevamento. Questi attacchi nascondono valori binari all'interno di caratteri Hangul (U+FFA0 e U+3164), rendendo più difficile il rilevamento di payload JavaScript dannosi per gli strumenti di sicurezza.

Come proteggersi da Lumma Stealer e attacchi simili

Data la complessità e la portata di questa campagna, le organizzazioni e i singoli individui dovrebbero adottare misure immediate per migliorare le proprie difese in materia di sicurezza informatica.

  • Evita di cliccare su link PDF sospetti: fai attenzione quando scarichi PDF da risultati di ricerca, allegati e-mail o fonti sconosciute.
  • Verifica le pagine CAPTCHA: i CAPTCHA legittimi non richiedono il download di file o l'esecuzione di script.
  • Monitorare Webflow e altri servizi di hosting: i team di sicurezza devono monitorare l'uso dannoso dei loro domini e segnalare contenuti sospetti.
  • Limita l'esecuzione di PowerShell e MSHTA: implementa le restrizioni dei Criteri di gruppo per impedire agli aggressori di abusare degli strumenti di Windows per eseguire codice dannoso.
  • Formare i dipendenti sulle tecniche di phishing: formare il personale a riconoscere i falsi CAPTCHA, il phishing basato su SEO e altre tattiche di ingegneria sociale.
  • Implementa una protezione avanzata dalle minacce: utilizza soluzioni di rilevamento e risposta degli endpoint (EDR) per rilevare abusi di PowerShell, traffico web sospetto e attività di malware infostealer.

Considerazioni finali

Questa campagna di phishing evidenzia come i criminali informatici stiano evolvendo le loro tecniche per distribuire Lumma Stealer e altri malware. Utilizzando falsi CAPTCHA nei PDF, SEO poisoning e metodi avanzati di offuscamento, gli aggressori stanno aggirando con successo le misure di sicurezza tradizionali.

Con migliaia di utenti già compromessi e tattiche di distribuzione di malware in espansione, le aziende devono rimanere vigili, istruire i dipendenti e implementare misure di sicurezza efficaci per difendersi da queste minacce in continua evoluzione.

Entro il Zane
February 28, 2025
Computer Security
Italiano
February 28, 2025
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.