大规模网络钓鱼活动利用虚假 CAPTCHA 传播 Lumma Stealer 恶意软件

网络犯罪分子正在加强他们的攻击手段,发起一项新的大规模网络钓鱼活动,通过嵌入 PDF 文件中的虚假 CAPTCHA 图像传播 Lumma Stealer 恶意软件。据 Netskope Threat Labs 称,该活动已经感染了 1,150 个组织的 7,000 多名用户,主要针对北美、亚洲和南欧的技术、金融服务和制造业。

研究人员发现 260 个不同的域名上托管着 5,000 个恶意 PDF,其中许多属于 Webflow、GoDaddy、Strikingly、Wix 和 Fastly。攻击者使用 SEO 操纵诱骗受害者从搜索引擎结果中点击这些文档,最终将他们重定向到旨在窃取信用卡详细信息或使用 Lumma Stealer 恶意软件感染其系统的网站。

攻击如何进行

攻击者分发包含虚假 CAPTCHA 图像的 PDF 文件。点击这些 CAPTCHA 的受害者会被重定向到恶意网站,在那里他们要么被诱骗输入敏感的财务信息,要么通过基于 PowerShell 的攻击感染恶意软件。

此次活动中的 Lumma Stealer 变体通过 ClickFix 技术部署,该技术诱骗用户执行 MSHTA 命令。此命令运行隐藏的 PowerShell 脚本,下载并安装 Lumma Stealer 恶意软件到受害者的系统上。

此次攻击活动使用的关键策略

  • 搜索引擎优化 (SEO) 中毒- 恶意 PDF 被上传到在线图书馆和存储库,如 PDFCOFFEE、PDF4PRO、PDFBean 和 Internet Archive,使其出现在合法的搜索结果中。
  • 伪造的 CAPTCHA 验证——受害者试图通过点击 CAPTCHA 来“验证”自己,却在不知情的情况下执行了恶意命令。
  • MSHTA 和 PowerShell 漏洞- 此次攻击使用受信任的 Windows 实用程序绕过安全防御来运行恶意软件。
  • 广泛的托管基础设施——网络钓鱼 PDF 分布在数百个域中,使得删除工作更加困难。

Lumma Stealer:一种正在崛起的危险信息窃取者

Lumma Stealer 是一种恶意软件即服务 (MaaS) 工具,旨在从受感染的 Windows 计算机中获取敏感数据。它可以窃取登录凭据、浏览器 cookie、加密钱包和其他有价值的信息。

最近,Lumma 运营商通过与基于 Golang 的代理恶意软件 GhostSocks 集成来扩展其功能。这使威胁行为者能够利用受害者的互联网连接来绕过地理限制并逃避检测未经授权访问的金融安全措施。

Lumma 感染所窃取的凭证和数据经常在地下论坛上分享,例如 Leaky[.]pro,这是一个相对较新的黑客市场,于 2024 年 12 月下旬出现。

利用 ClickFix 技术的其他威胁

Lumma Stealer 并不是唯一一款利用 ClickFix 网络钓鱼技术的恶意软件。Zscaler ThreatLabz 和 eSentire 的研究人员观察到了类似的传播策略:

  • 维达窃贼
  • Atomic macOS 窃取工具(AMOS)
  • 以 DeepSeek AI 聊天机器人为主题的恶意软件

此外,瞻博网络威胁实验室还发现,网络钓鱼攻击使用 Unicode 混淆方法来逃避检测。这些攻击将二进制值隐藏在韩语字符(U+FFA0 和 U+3164)中,使恶意 JavaScript 负载更难被安全工具检测到。

如何保护自己免受 Lumma Stealer 和类似攻击

鉴于此次活动的复杂性和规模,组织和个人应立即采取行动,加强其网络安全防御。

  • 避免点击可疑的 PDF 链接——从搜索结果、电子邮件附件或未知来源下载 PDF 时要小心谨慎。
  • 验证 CAPTCHA 页面 – 合法的 CAPTCHA 不需要下载文件或运行脚本。
  • 监控 Webflow 和其他托管服务——安全团队应跟踪其域名的恶意使用情况并报告可疑内容。
  • 限制 PowerShell 和 MSHTA 执行 – 实施组策略限制,以防止攻击者滥用 Windows 工具运行恶意代码。
  • 对员工进行网络钓鱼技术教育——培训员工识别虚假的验证码、基于 SEO 的网络钓鱼和其他社会工程策略。
  • 部署高级威胁防护——使用端点检测和响应 (EDR) 解决方案来检测 PowerShell 滥用、可疑网络流量和信息窃取恶意软件活动。

最后的想法

此次网络钓鱼活动突显了网络犯罪分子如何改进其技术以传播 Lumma Stealer 和其他恶意软件。通过在 PDF 中使用伪造的 CAPTCHA、SEO 投毒和高级混淆方法,攻击者成功绕过了传统的安全措施。

由于成千上万的用户已经受到攻击并且恶意软件传播策略不断扩大,企业必须保持警惕,教育员工并实施强有力的安全措施来防御这些不断演变的威胁。

由 Zane
February 28, 2025
Computer Security
汉语
February 28, 2025
Computer Security

热门帖子

什么是 OperaGXSetup.exe 文件?它是恶意的吗?

11 months前

Eporner.com 及其过多的弹窗为何会带来风险

12 days前

请注意:有人将你添加为他们的恢复电子邮件诈骗

10 months前

HackTool:Win32/Crack:可能严重损害您的系统的恶意威胁

7 months前

潜在的严重威胁:Trojan:Win32/Suschil!rfn

19 days前

Packunwan 木马威胁是什么以及它如何影响您的计算机

11 months前
汉语
正在加载...

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

首页

产品

Cyclonis Password Manager Cyclonis World Time

支持

帮助 常见问题 Downloads 咨询和支持

公司

关于我们 联系我们 报告滥用

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 隐私政策 Cookie政策 Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。