大規模網路釣魚活動利用虛假 CAPTCHA 傳播 Lumma Stealer 惡意軟體

網路犯罪分子正在加強他們的攻擊活動,發起新的大規模網路釣魚活動,透過嵌入在 PDF 文件中的虛假 CAPTCHA 圖像來傳播 Lumma Stealer 惡意軟體。據 Netskope 威脅實驗室稱,這次攻擊活動已影響 1,150 個組織的 7,000 多名用戶,主要針對北美、亞洲和南歐的技術、金融服務和製造業。

研究人員發現 5,000 個惡意 PDF 託管在 260 個不同的網域上,其中許多屬於 Webflow、GoDaddy、Strikingly、Wix 和 Fastly。攻擊者利用 SEO 操縱誘騙受害者從搜尋引擎結果中點擊這些文檔,最終將他們重定向到旨在竊取信用卡詳細資訊或使用 Lumma Stealer 惡意軟體感染其係統的網站。

攻擊如何進行

攻擊者分發包含虛假 CAPTCHA 影像的 PDF 檔案。點擊這些 CAPTCHA 的受害者會被重定向到惡意網站,在那裡他們要么被誘騙輸入敏感的財務詳細信息,要么通過基於 PowerShell 的攻擊感染惡意軟體。

這次活動中的 Lumma Stealer 變種透過 ClickFix 技術部署,該技術誘騙使用者執行 MSHTA 命令。此指令執行隱藏的 PowerShell 腳本,下載並安裝 Lumma Stealer 惡意軟體到受害者的系統。

這次攻擊活動使用的關鍵策略

  • 搜尋引擎優化 (SEO) 中毒- 惡意 PDF 被上傳到線上圖書館和儲存庫,如 PDFCOFFEE、PDF4PRO、PDFBean 和 Internet Archive,使其出現在合法的搜尋結果中。
  • 偽造的 CAPTCHA 驗證——受害者試圖透過點擊 CAPTCHA 來「驗證」自己,卻在不知情的情況下執行了惡意命令。
  • MSHTA 和 PowerShell 漏洞- 此次攻擊使用受信任的 Windows 實用程式繞過安全防禦來運行惡意軟體。
  • 廣泛的託管基礎設施—網路釣魚 PDF 分佈在數百個網域中,使得刪除工作更加困難。

Lumma Stealer:一種正在崛起的危險訊息竊取者

Lumma Stealer 是一種惡意軟體即服務 (MaaS) 工具,旨在從受感染的 Windows 機器中取得敏感資料。它可以竊取登入憑證、瀏覽器 cookie、加密錢包和其他有價值的資訊。

最近,Lumma 運營商透過與基於 Golang 的代理惡意軟體 GhostSocks 整合擴展了其功能。這使得威脅行為者可以利用受害者的網路連線繞過地理限制並逃避偵測未經授權存取的財務安全措施。

Lumma 感染所竊取的憑證和資料經常在地下論壇上分享,例如 Leaky[.]pro,這是一個相對較新的駭客市場,於 2024 年 12 月下旬出現。

利用 ClickFix 技術的其他威脅

Lumma Stealer 並不是唯一利用 ClickFix 網路釣魚技術的惡意軟體。 Zscaler ThreatLabz 和 eSentire 的研究人員觀察到了類似的傳播策略:

  • 維達竊賊
  • Atomic macOS 竊取工具(AMOS)
  • 以 DeepSeek AI 聊天機器人為主題的惡意軟體

此外,瞻博網路威脅實驗室也發現使用 Unicode 混淆方法來逃避偵測的網路釣魚攻擊。這些攻擊將二進位值隱藏在韓語字元(U+FFA0 和 U+3164)中,使得惡意 JavaScript 負載更難被安全工具偵測到。

如何保護自己免受 Lumma Stealer 和類似攻擊

鑑於活動的複雜性和規模,組織和個人應立即採取行動,加強其網路安全防禦。

  • 避免點擊可疑的 PDF 連結—從搜尋結果、電子郵件附件或未知來源下載 PDF 時要小心謹慎。
  • 驗證 CAPTCHA 頁面 – 合法的 CAPTCHA 不需要下載檔案或執行腳本。
  • 監控 Webflow 和其他託管服務—安全團隊應追蹤其網域的惡意使用情況並報告可疑內容。
  • 限制 PowerShell 和 MSHTA 執行 – 實作群組原則限制,以防止攻擊者濫用 Windows 工具執行惡意程式碼。
  • 對員工進行網路釣魚技術教育-培訓員工識別虛假的驗證碼、基於 SEO 的網路釣魚和其他社會工程策略。
  • 部署進階威脅防護-使用端點偵測和回應 (EDR) 解決方案來偵測 PowerShell 濫用、可疑網路流量和資訊竊取惡意軟體活動。

最後的想法

這次網路釣魚活動凸顯了網路犯罪分子如何改善其技術來傳播 Lumma Stealer 和其他惡意軟體。透過在 PDF 中使用偽造的 CAPTCHA、SEO 投毒和高級混淆方法,攻擊者成功繞過了傳統的安全措施。

由於成千上萬的用戶已經受到攻擊並且惡意軟體傳播策略不斷擴大,企業必須保持警惕,教育員工並實施強有力的安全措施來防禦這些不斷演變的威脅。

由 Zane
February 28, 2025
Computer Security
漢語
February 28, 2025
Computer Security

熱門帖子

OperaGXSetup.exe 檔案是什麼?

11 months前

Eporner.com 及其過多的彈跳窗為何會帶來風險

12 days前

請注意:有人將您添加為他們的恢復電子郵件騙局

10 months前

HackTool:Win32/Crack:一種可能嚴重損壞您系統的惡意威脅

7 months前

潛在的嚴重威脅:Trojan:Win32/Suschil!rfn

19 days前

什麼是 Packunwan 特洛伊木馬威脅以及它如何影響您的計算機

11 months前
漢語
正在加載...

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

首頁

產品

Cyclonis Password Manager Cyclonis World Time

支持

幫助 常見問題 Downloads 諮詢和支持

公司

關於我們 聯繫我們 報告濫用

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 隱私政策 Cookie政策 Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。