Compartidas a través de documentos PDF a través de Webflow, GoDaddy y otros dominios
Investigadores de ciberseguridad han descubierto una campaña de phishing generalizada que utiliza falsas imágenes CAPTCHA compartidas a través de documentos PDF alojados en la red de distribución de contenido (CDN) de Webflow para distribuir el malware ladrón Lumma.
Netskope Threat Labs afirmó haber descubierto 260 dominios únicos que albergan 5.000 archivos PDF de phishing que redirigen a las víctimas a sitios web maliciosos.
"El atacante utiliza SEO para engañar a las víctimas para que visiten las páginas haciendo clic en resultados maliciosos de motores de búsqueda", dijo en un informe el investigador de seguridad Jan Michael Alcantara.
"Si bien la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos archivos PDF contienen CAPTCHA falsos que engañan a las víctimas para que ejecuten comandos maliciosos de PowerShell, lo que finalmente conduce al malware Lumma Stealer".
Se estima que la campaña de phishing ha afectado a más de 1.150 organizaciones y más de 7.000 usuarios desde la segunda mitad de 2024, y los ataques apuntaron principalmente a víctimas en América del Norte, Asia y el sur de Europa en los sectores de tecnología, servicios financieros y fabricación.
De los 260 dominios identificados para alojar los PDF falsos, la mayoría de ellos están relacionados con Webflow, seguido por los relacionados con GoDaddy, Strikingly, Wix y Fastly.
También se ha observado que los atacantes cargan algunos de los archivos PDF a bibliotecas en línea y repositorios de PDF legítimos como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, de modo que los usuarios que buscan documentos PDF en motores de búsqueda son dirigidos a ellos.
Los PDF contienen imágenes CAPTCHA fraudulentas que actúan como un conducto para robar información de tarjetas de crédito. Por otra parte, quienes distribuyen Lumma Stealer contienen imágenes para descargar el documento que, al hacer clic, lleva a la víctima a un sitio malicioso.
Por su parte, el sitio se hace pasar por una página falsa de verificación CAPTCHA que emplea la técnica ClickFix para engañar a la víctima y hacer que ejecute un comando MSHTA que ejecuta el malware ladrón mediante un script de PowerShell.
En las últimas semanas, Lumma Stealer también se ha disfrazado de juegos de Roblox y una versión pirateada de la herramienta Total Commander para Windows, lo que pone de relieve los innumerables mecanismos de entrega adoptados por varios actores de amenazas. Los usuarios son redirigidos a estos sitios web a través de vídeos de YouTube probablemente cargados desde cuentas previamente comprometidas.
"Los enlaces maliciosos y los archivos infectados a menudo están camuflados en vídeos, comentarios o descripciones [de YouTube]", dijo Silent Push. "Tener precaución y ser escéptico con las fuentes no verificadas al interactuar con contenido de YouTube, especialmente cuando se le solicita que descargue o haga clic en enlaces, puede ayudar a protegerse contra estas crecientes amenazas".
