Ogromna kampania phishingowa wykorzystuje fałszywe CAPTCHA do rozprzestrzeniania złośliwego oprogramowania Lumma Stealer

Cyberprzestępcy podnoszą poziom swojej gry dzięki nowej kampanii phishingowej na dużą skalę, która dostarcza złośliwe oprogramowanie Lumma Stealer za pośrednictwem fałszywych obrazów CAPTCHA osadzonych w plikach PDF. Według Netskope Threat Labs, ta kampania już naraziła na szwank ponad 7000 użytkowników w 1150 organizacjach, głównie atakując sektory technologii, usług finansowych i produkcji w Ameryce Północnej, Azji i Europie Południowej.

Badacze znaleźli 5000 złośliwych plików PDF hostowanych w 260 różnych domenach, z których wiele należy do Webflow, GoDaddy, Strikingly, Wix i Fastly. Atakujący wykorzystują manipulację SEO, aby oszukać ofiary i skłonić je do kliknięcia tych dokumentów w wynikach wyszukiwania, ostatecznie przekierowując je do witryn zaprojektowanych w celu kradzieży danych kart kredytowych lub zainfekowania ich systemów złośliwym oprogramowaniem Lumma Stealer.

Jak działa atak

Atakujący rozpowszechniają pliki PDF zawierające fałszywe obrazy CAPTCHA. Ofiary, które klikają te CAPTCHA, są przekierowywane do złośliwych witryn, gdzie są albo oszukiwane, aby wprowadzić poufne dane finansowe, albo są infekowane złośliwym oprogramowaniem za pomocą ataku opartego na PowerShell.

Wariant Lumma Stealer w tej kampanii jest wdrażany za pomocą techniki ClickFix, która oszukuje użytkowników, aby wykonali polecenie MSHTA. To polecenie uruchamia ukryty skrypt PowerShell, który pobiera i instaluje złośliwe oprogramowanie Lumma Stealer w systemie ofiary.

Kluczowe taktyki stosowane w tej kampanii

  • Zatruwanie optymalizacji pod kątem wyszukiwarek (SEO) – złośliwe pliki PDF są przesyłane do bibliotek i repozytoriów online, takich jak PDFCOFFEE, PDF4PRO, PDFBean i Internet Archive, dzięki czemu pojawiają się w legalnych wynikach wyszukiwania.
  • Fałszywa weryfikacja CAPTCHA – ofiary, które próbują „zweryfikować” siebie, klikając CAPTCHA, nieświadomie wykonują złośliwe polecenia.
  • Exploity MSHTA i PowerShell – Atak omija zabezpieczenia, wykorzystując zaufane narzędzia systemu Windows do uruchamiania złośliwego oprogramowania.
  • Rozległa infrastruktura hostingowa – pliki PDF typu phishing są rozsiane po setkach domen , co utrudnia usuwanie treści.

Lumma Stealer: Niebezpieczny złodziej informacji na fali wzrostu

Lumma Stealer to narzędzie Malware-as-a-Service (MaaS) zaprojektowane do zbierania poufnych danych z zainfekowanych komputerów z systemem Windows. Może kraść dane logowania, pliki cookie przeglądarki, portfele kryptowalut i inne cenne informacje.

Ostatnio operatorzy Lumma rozszerzyli swoje możliwości, integrując się z GhostSocks, proxy malware opartym na Golang. Pozwala to atakującym wykorzystywać połączenia internetowe ofiar, aby ominąć ograniczenia geograficzne i uniknąć środków bezpieczeństwa finansowego, które wykrywają nieautoryzowany dostęp.

Skradzione dane uwierzytelniające i dane pochodzące z infekcji Lumma są często udostępniane na podziemnych forach, takich jak Leaky[.]pro, stosunkowo nowym rynku hakerskim, który pojawił się pod koniec grudnia 2024 r.

Inne zagrożenia wykorzystujące technikę ClickFix

Lumma Stealer nie jest jedynym malware wykorzystującym techniki phishingu ClickFix. Badacze z Zscaler ThreatLabz i eSentire zaobserwowali podobne taktyki stosowane w celu dystrybucji:

  • Złodziej Vidara
  • Atomic macOS Stealer (AMOS)
  • Oprogramowanie złośliwe o tematyce chatbota DeepSeek AI

Ponadto Juniper Threat Labs wykryło ataki phishingowe wykorzystujące metody zaciemniania Unicode w celu uniknięcia wykrycia. Te ataki ukrywają wartości binarne w znakach Hangul (U+FFA0 i U+3164), co utrudnia wykrywanie złośliwych ładunków JavaScript przez narzędzia bezpieczeństwa.

Jak chronić się przed Lumma Stealer i podobnymi atakami

Biorąc pod uwagę złożoność i skalę tej kampanii, organizacje i osoby prywatne powinny natychmiast podjąć działania w celu wzmocnienia swoich zabezpieczeń cybernetycznych.

  • Unikaj klikania podejrzanych linków PDF – zachowaj ostrożność podczas pobierania plików PDF z wyników wyszukiwania, załączników e-mail lub nieznanych źródeł.
  • Zweryfikuj strony CAPTCHA – legalne CAPTCHA nie wymagają pobierania plików ani uruchamiania skryptów.
  • Monitoruj Webflow i inne usługi hostingowe – Zespoły ds. bezpieczeństwa powinny śledzić złośliwe wykorzystanie swoich domen i zgłaszać podejrzane treści.
  • Ogranicz wykonywanie programu PowerShell i MSHTA – Wprowadź ograniczenia zasad grupy, aby uniemożliwić atakującym wykorzystanie narzędzi systemu Windows do uruchamiania złośliwego kodu.
  • Szkolenie pracowników na temat technik phishingu – przeszkolenie personelu w zakresie rozpoznawania fałszywych testów CAPTCHA, phishingu opartego na SEO i innych taktyk inżynierii społecznej.
  • Wdróż zaawansowaną ochronę przed zagrożeniami – korzystaj z rozwiązań wykrywania i reagowania na zagrożenia w punktach końcowych (EDR), aby wykrywać nadużycia programu PowerShell, podejrzany ruch sieciowy i aktywność złośliwego oprogramowania kradnącego informacje.

Ostatnie przemyślenia

Ta kampania phishingowa pokazuje, jak cyberprzestępcy rozwijają swoje techniki dystrybucji Lumma Stealer i innego złośliwego oprogramowania. Używając fałszywych CAPTCHA w plikach PDF, zatruwania SEO i zaawansowanych metod zaciemniania, atakujący skutecznie omijają tradycyjne środki bezpieczeństwa.

Ponieważ tysiące użytkowników zostało już zainfekowanych, a metody rozprzestrzeniania złośliwego oprogramowania są coraz powszechniejsze, firmy muszą zachować czujność, edukować pracowników i wdrażać silne środki bezpieczeństwa, aby bronić się przed tymi rozwijającymi się zagrożeniami.

Do Zane
February 28, 2025
Computer Security
Polski
February 28, 2025
Computer Security

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.