Descubren 5,000 PDFs de Phishing en 260 Dominios Distribuyendo Malware Lumma Stealer
En el vasto mundo de la ciberseguridad, los investigadores han desenterrado una campaña de phishing de gran alcance que utiliza imágenes de CAPTCHA falsas compartidas a través de documentos PDF. Estos documentos están alojados en la red de entrega de contenido (CDN) de Webflow y tienen como objetivo entregar el malware conocido como Lumma Stealer. Este descubrimiento, realizado por Netskope Threat Labs, reveló la existencia de 260 dominios únicos que hospedan alrededor de 5,000 archivos PDF de phishing. Estos archivos engañan a las víctimas redirigiéndolas a sitios web maliciosos.
El ingenioso atacante emplea técnicas de optimización para motores de búsqueda (SEO) para engañar a los usuarios, haciéndoles creer que están haciendo clic en resultados legítimos de motores de búsqueda, cuando en realidad están siendo conducidos a páginas maliciosas. Según el investigador de seguridad Jan Michael Alcantara, mientras que la mayoría de las páginas de phishing se centran en robar información de tarjetas de crédito, algunos de estos archivos PDF contienen CAPTCHAs falsos que inducen a las víctimas a ejecutar comandos maliciosos de PowerShell. Esto, de manera insidiosa, conduce a la instalación del malware Lumma Stealer.
La campaña de phishing se estima que ha afectado a más de 1,150 organizaciones y a más de 7,000 usuarios desde la segunda mitad de 2024, con los ataques principalmente dirigidos a víctimas en América del Norte, Asia y el sur de Europa. Los sectores más afectados son los de tecnología, servicios financieros y manufactura.
Entre los 260 dominios identificados que alojan estos PDFs falsos, la mayoría están relacionados con Webflow, seguidos de aquellos relacionados con GoDaddy, Strikingly, Wix y Fastly. Los atacantes también han sido observados subiendo algunos de estos archivos PDF a bibliotecas en línea legítimas y repositorios de PDF como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive. De esta manera, los usuarios que buscan documentos PDF en motores de búsqueda son redirigidos a estos sitios.
Los archivos PDF fraudulentos contienen imágenes de CAPTCHAs que actúan como un conducto para robar información de tarjetas de crédito. Alternativamente, aquellos que distribuyen Lumma Stealer contienen imágenes que, al ser clicadas, llevan a la víctima a un sitio malicioso. Estos sitios se hacen pasar por páginas de verificación de CAPTCHA falsas que emplean la técnica ClickFix para engañar a la víctima y hacer que ejecute un comando MSHTA que activa el malware a través de un script de PowerShell.
Recientemente, Lumma Stealer también se ha disfrazado como juegos de Roblox y una versión crackeada de la herramienta Total Commander para Windows, destacando la variedad de mecanismos de entrega adoptados por diversos actores malintencionados. Los usuarios son redirigidos a estos sitios web a través de videos de YouTube, que probablemente fueron subidos desde cuentas previamente comprometidas.
En semanas recientes, los registros de Lumma Stealer han sido compartidos de forma gratuita en un foro de hackers relativamente nuevo llamado Leaky[.]pro, que comenzó a operar a finales de diciembre de 2024. Lumma Stealer es una solución de crimeware completamente equipada que se ofrece a la venta bajo el modelo de malware como servicio (MaaS), lo que permite recolectar una amplia gama de información de hosts Windows comprometidos.
En los primeros meses de 2024, los operadores del malware anunciaron una integración con un malware proxy basado en Golang llamado GhostSocks. La adición de una función de backconnect SOCKS5 a las infecciones existentes de Lumma, o a cualquier malware, es altamente lucrativa para los actores maliciosos. Al utilizar las conexiones a Internet de las víctimas, los atacantes pueden eludir las restricciones geográficas y las verificaciones de integridad basadas en IP, particularmente aquellas impuestas por instituciones financieras y otros objetivos de alto valor.
Estas revelaciones surgen en un contexto donde el malware tipo stealer como Vidar y Atomic macOS Stealer (AMOS) están siendo distribuidos utilizando el método ClickFix a través de señuelos para el chatbot de inteligencia artificial DeepSeek. También se han detectado ataques de phishing que abusan de un método de ofuscación de JavaScript que utiliza caracteres Unicode invisibles para representar valores binarios, una técnica que se documentó por primera vez en octubre de 2024.
El enfoque implica el uso de caracteres de relleno Unicode, específicamente Hangul de ancho medio (U+FFA0) y Hangul de ancho completo (U+3164), para representar los valores binarios 0 y 1, respectivamente, y convertir cada carácter ASCII en la carga útil de JavaScript a sus equivalentes en Hangul. Estos ataques fueron altamente personalizados, incluyendo información no pública, y el JavaScript inicial intentaría invocar un punto de interrupción del depurador si estuviera siendo analizado, detectar un retraso y luego abortar el ataque redirigiendo a un sitio web benigno.