Massiv phishing-kampanje bruker falske CAPTCHA-er for å spre Lumma Stealer-malware

Nettkriminelle trapper opp spillet med en ny storstilt phishing-kampanje som leverer Lumma Stealer malware gjennom falske CAPTCHA-bilder innebygd i PDF-filer. I følge Netskope Threat Labs har denne kampanjen allerede kompromittert over 7000 brukere på tvers av 1150 organisasjoner, hovedsakelig rettet mot teknologi, finansielle tjenester og produksjonssektorene i Nord-Amerika, Asia og Sør-Europa.

Forskere fant 5000 ondsinnede PDF-filer på 260 forskjellige domener, hvorav mange tilhører Webflow, GoDaddy, Strikingly, Wix og Fastly. Angriperne bruker SEO-manipulasjon for å lure ofrene til å klikke på disse dokumentene fra søkemotorresultatene, og til slutt omdirigere dem til nettsteder som er utformet for enten å stjele kredittkortdetaljer eller infisere systemene deres med Lumma Stealer malware.

Hvordan angrepet fungerer

Angriperne distribuerer PDF-filer som inneholder falske CAPTCHA-bilder. Ofre som klikker på disse CAPTCHA-ene blir omdirigert til ondsinnede nettsteder der de enten blir lurt til å skrive inn sensitive økonomiske detaljer eller blir infisert med skadelig programvare gjennom et PowerShell-basert angrep.

Lumma Stealer-varianten i denne kampanjen er distribuert gjennom en ClickFix-teknikk, som lurer brukere til å utføre en MSHTA-kommando. Denne kommandoen kjører et skjult PowerShell-skript som laster ned og installerer Lumma Stealer malware på offerets system.

Nøkkeltaktikker som brukes i denne kampanjen

  • Søkemotoroptimalisering (SEO)-forgiftning – Ondsinnede PDF-filer lastes opp til nettbiblioteker og depoter som PDFCOFFEE, PDF4PRO, PDFBean og Internet Archive, slik at de vises i legitime søkeresultater.
  • Falsk CAPTCHA-verifisering - Ofre som forsøker å "verifisere" seg selv ved å klikke på CAPTCHA, utfører uvitende ondsinnede kommandoer.
  • MSHTA og PowerShell-utnyttelser – Angrepet omgår sikkerhetsforsvar ved å bruke pålitelige Windows-verktøy for å kjøre skadelig programvare.
  • Utbredt vertsinfrastruktur – Phishing-PDF-filene er spredt over hundrevis av domener , noe som gjør fjerningsarbeidet mer utfordrende.

Lumma Stealer: A Dangerous Infostealer on the Rise

Lumma Stealer er et Malware-as-a-Service (MaaS)-verktøy utviklet for å samle inn sensitive data fra kompromitterte Windows-maskiner. Den kan stjele påloggingsinformasjon, nettleserinformasjonskapsler, kryptolommebøker og annen verdifull informasjon.

Nylig utvidet Lumma-operatører sine muligheter ved å integrere med GhostSocks, en Golang-basert proxy-skadevare. Dette lar trusselaktører utnytte ofrenes internettforbindelser for å omgå geografiske begrensninger og unngå økonomiske sikkerhetstiltak som oppdager uautorisert tilgang.

Stjålet legitimasjon og data fra Lumma-infeksjoner deles ofte på underjordiske fora som Leaky[.]pro, en relativt ny hackingmarkedsplass som dukket opp i slutten av desember 2024.

Andre trusler som utnytter ClickFix-teknikken

Lumma Stealer er ikke den eneste skadevare som utnytter ClickFix-nettfiskingsteknikker. Forskere fra Zscaler ThreatLabz og eSentire har observert lignende taktikker som brukes til å distribuere:

  • Vidar Stealer
  • Atomic macOS Stealer (AMOS)
  • Skadevare med DeepSeek AI Chatbot-tema

I tillegg har Juniper Threat Labs oppdaget phishing-angrep ved å bruke Unicode-tilsløringsmetoder for å unngå oppdagelse. Disse angrepene skjuler binære verdier i Hangul-tegn (U+FFA0 og U+3164), noe som gjør skadelige JavaScript-nyttelaster vanskeligere for sikkerhetsverktøy å oppdage.

Hvordan beskytte deg selv mot Lumma Stealer og lignende angrep

Gitt raffinementet og omfanget av denne kampanjen, bør organisasjoner og enkeltpersoner iverksette umiddelbare tiltak for å forbedre deres cybersikkerhetsforsvar.

  • Unngå å klikke på mistenkelige PDF-koblinger – Vær forsiktig når du laster ned PDF-er fra søkeresultater, e-postvedlegg eller ukjente kilder.
  • Bekreft CAPTCHA-sider – Legitime CAPTCHA-er krever ikke nedlasting av filer eller kjøring av skript.
  • Overvåk nettflyt og andre vertstjenester – Sikkerhetsteam bør spore ondsinnet bruk av domenene deres og rapportere mistenkelig innhold.
  • Begrens utførelse av PowerShell og MSHTA – Implementer gruppepolicybegrensninger for å hindre angripere i å misbruke Windows-verktøy for å kjøre skadelig kode.
  • Lær ansatte om phishing-teknikker – Lær opp personalet til å gjenkjenne falske CAPTCHA-er, SEO-basert phishing og andre sosiale ingeniør-taktikker.
  • Implementer Advanced Threat Protection – Bruk EDR-løsninger (endpoint detection and response) for å oppdage PowerShell-misbruk, mistenkelig nettrafikk og skadevareaktivitet fra infostealer.

Siste tanker

Denne phishing-kampanjen fremhever hvordan nettkriminelle utvikler teknikkene sine for å distribuere Lumma Stealer og annen skadelig programvare. Ved å bruke falske CAPTCHA-er i PDF-er, SEO-forgiftning og avanserte sløringsmetoder, klarer angripere å omgå tradisjonelle sikkerhetstiltak.

Med tusenvis av brukere som allerede er kompromittert og distribusjonstaktikker for skadevare utvides, må bedrifter være årvåkne, utdanne ansatte og implementere sterke sikkerhetstiltak for å forsvare seg mot disse utviklende truslene.

Innen Zane
February 28, 2025
Computer Security
Norsk
February 28, 2025
Computer Security

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.