Масштабная фишинговая кампания использует поддельные CAPTCHA для распространения вредоносного ПО Lumma Stealer
Киберпреступники активизируют свою игру с новой крупномасштабной фишинговой кампанией, которая доставляет вредоносное ПО Lumma Stealer через поддельные изображения CAPTCHA, встроенные в файлы PDF. По данным Netskope Threat Labs, эта кампания уже скомпрометировала более 7000 пользователей в 1150 организациях, в основном нацеленных на секторы технологий, финансовых услуг и производства в Северной Америке, Азии и Южной Европе.
Исследователи обнаружили 5000 вредоносных PDF-файлов, размещенных на 260 различных доменах, многие из которых принадлежат Webflow, GoDaddy, Strikingly, Wix и Fastly. Злоумышленники используют манипуляции SEO, чтобы обманом заставить жертв кликнуть по этим документам из результатов поиска, в конечном итоге перенаправляя их на сайты, предназначенные либо для кражи данных кредитных карт, либо для заражения их систем вредоносным ПО Lumma Stealer.
Table of Contents
Как работает атака
Злоумышленники распространяют PDF-файлы, содержащие поддельные изображения CAPTCHA. Жертвы, нажимающие на эти CAPTCHA, перенаправляются на вредоносные веб-сайты, где их либо обманом заставляют ввести конфиденциальные финансовые данные, либо заражают вредоносным ПО с помощью атаки на основе PowerShell.
Вариант Lumma Stealer в этой кампании развертывается с помощью техники ClickFix, которая обманом заставляет пользователей выполнить команду MSHTA. Эта команда запускает скрытый скрипт PowerShell, который загружает и устанавливает вредоносное ПО Lumma Stealer в систему жертвы.
Ключевые тактики, использованные в этой кампании
- Отравление поисковой оптимизации (SEO) — вредоносные PDF-файлы загружаются в онлайн-библиотеки и репозитории, такие как PDFCOFFEE, PDF4PRO, PDFBean и Internet Archive, что заставляет их отображаться в легитимных результатах поиска.
- Поддельная проверка CAPTCHA . Жертвы, которые пытаются «подтвердить» себя, нажав на CAPTCHA, неосознанно выполняют вредоносные команды.
- Эксплойты MSHTA и PowerShell . Атака обходит средства безопасности, используя доверенные утилиты Windows для запуска вредоносного ПО.
- Широко распространенная инфраструктура хостинга . Фишинговые PDF-файлы распространяются по сотням доменов , что усложняет попытки их удаления.
Lumma Stealer: Опасный инфокрад на подъеме
Lumma Stealer — это инструмент Malware-as-a-Service (MaaS), предназначенный для сбора конфиденциальных данных со скомпрометированных машин Windows. Он может красть учетные данные для входа, файлы cookie браузера, криптокошельки и другую ценную информацию.
Недавно операторы Lumma расширили свои возможности, интегрировав GhostSocks, вредоносное прокси-ПО на базе Golang. Это позволяет злоумышленникам использовать интернет-подключения жертв для обхода географических ограничений и обхода мер финансовой безопасности, которые обнаруживают несанкционированный доступ.
Украденные учетные данные и данные, полученные в результате заражений Lumma, часто публикуются на подпольных форумах, таких как Leaky[.]pro, относительно новом рынке хакерских услуг, появившемся в конце декабря 2024 года.
Другие угрозы, использующие технику ClickFix
Lumma Stealer — не единственное вредоносное ПО, использующее фишинговые методы ClickFix. Исследователи из Zscaler ThreatLabz и eSentire наблюдали схожие тактики, используемые для распространения:
- Видар Стилер
- Атомный macOS Stealer (AMOS)
- Вредоносное ПО на основе чат-бота DeepSeek AI
Кроме того, Juniper Threat Labs обнаружила фишинговые атаки, использующие методы обфускации Unicode для избежания обнаружения. Эти атаки скрывают двоичные значения в символах хангыля (U+FFA0 и U+3164), что затрудняет обнаружение вредоносных полезных нагрузок JavaScript для средств безопасности.
Как защитить себя от Lumma Stealer и подобных атак
Учитывая сложность и масштаб этой кампании, организациям и отдельным лицам следует принять немедленные меры по усилению своей киберзащиты.
- Избегайте перехода по подозрительным ссылкам на PDF-файлы. Будьте осторожны при загрузке PDF-файлов из результатов поиска, вложений электронной почты или неизвестных источников.
- Проверка страниц CAPTCHA. Подлинные CAPTCHA не требуют загрузки файлов или запуска скриптов.
- Контролируйте Webflow и другие службы хостинга. Службы безопасности должны отслеживать вредоносное использование своих доменов и сообщать о подозрительном контенте.
- Ограничьте выполнение PowerShell и MSHTA — реализуйте ограничения групповой политики, чтобы не дать злоумышленникам использовать инструменты Windows для запуска вредоносного кода.
- Обучите сотрудников приемам фишинга. Обучите сотрудников распознавать поддельные CAPTCHA, фишинг на основе SEO и другие приемы социальной инженерии.
- Развертывание расширенной защиты от угроз. Используйте решения по обнаружению и реагированию на конечные точки (EDR) для обнаружения злоупотреблений PowerShell, подозрительного веб-трафика и вредоносных программ для кражи информации.
Заключительные мысли
Эта фишинговая кампания демонстрирует, как киберпреступники совершенствуют свои методы распространения Lumma Stealer и других вредоносных программ. Используя поддельные CAPTCHA в PDF-файлах, SEO-отравление и передовые методы обфускации, злоумышленники успешно обходят традиционные меры безопасности.
Учитывая, что тысячи пользователей уже подверглись атакам, а методы распространения вредоносного ПО расширяются, предприятиям необходимо сохранять бдительность, обучать сотрудников и внедрять надежные меры безопасности для защиты от этих постоянно меняющихся угроз.
