El equipo de inteligencia de amenazas de CloudSEK descubrió una forma innovadora de distribuir el malware Lumma Stealer a través de páginas falsas de autenticación humana. Este enfoque, identificado por primera vez por Unit42 de Palo Alto Networks, se dirige específicamente a los usuarios de Windows, pero tiene el potencial de distribuir una variedad de software malicioso.
Los ciberdelincuentes detrás de esta campaña han creado sitios web de phishing alojados en plataformas que generalmente se consideran seguras, como Amazon S3 y redes de entrega de contenido (CDN). Estos sitios engañan a los usuarios para que completen una verificación CAPTCHA de Google falsa. Al hacer clic en el botón (validar), el usuario debe seguir ciertas instrucciones. Es decir, abra el cuadro de diálogo (Ejecutar) (Win+R), pegue el contenido copiado y presione Entrar.
Según CloudSEK, esta acción activa una función de JavaScript oculta que copia un comando de PowerShell codificado en base64 al portapapeles del usuario. Cuando un usuario ejecuta este comando, el malware Lumma Stealer se descarga silenciosamente desde un servidor remoto y el sistema se ve comprometido.
“Esta nueva táctica es particularmente peligrosa porque se aprovecha de la confianza de los usuarios en las verificaciones CAPTCHA ampliamente reconocidas que encuentran con frecuencia en línea”, dijo el investigador de seguridad de CloudSEK, Anshuman Das. Al disfrazar lo que parecen ser controles de seguridad normales, los atacantes pueden engañar fácilmente a los usuarios. ejecutar comandos dañinos en sus sistemas. Lo más preocupante es que Lumma Stealer ahora se está distribuyendo. Esta técnica también se puede utilizar para propagar otros tipos de malware, lo que la convierte en una amenaza altamente versátil y en evolución”.
El proceso de infección suele constar de varios pasos. Primero, se dirige al usuario a una página de verificación falsa. Luego se copia un script de PowerShell en el portapapeles mediante un mensaje CAPTCHA falso. Cuando se ejecuta el script, ejecuta PowerShell en una ventana oculta y descarga Lumma Stealer desde el servidor remoto. Luego, el malware establece una conexión con un dominio controlado por el atacante, poniendo en riesgo a los usuarios y sus datos.
Las observaciones clave de CloudSEK incluyen el uso de codificación base64 y operaciones del portapapeles para evadir la detección. Se pueden encontrar páginas falsas de verificación humana en plataformas populares como Amazon S3 y CDN. Además, el malware puede descargar componentes adicionales, lo que complica la detección y el análisis. Aunque esta campaña apunta principalmente a la distribución de Lumma Stealer, corre el riesgo de engañar a los usuarios para que descarguen varios tipos de archivos maliciosos en sus dispositivos Windows.
CloudSEK recomienda varias medidas para mitigar estas amenazas. Los usuarios y las organizaciones deberían educar a sus empleados sobre esta nueva táctica de ingeniería social, especialmente los peligros de copiar y pegar comandos desconocidos. Las organizaciones también implementan soluciones avanzadas de protección de terminales que pueden detectar y bloquear ataques basados en PowerShell, monitorear el tráfico de red en busca de conexiones sospechosas a dominios recién registrados o poco comunes y usar Lumma Stealer. Le recomendamos que mantenga su sistema con actualizaciones y parches periódicos para reducir el riesgo. Número de vulnerabilidades explotadas por.
Teniendo en cuenta estos hallazgos, las personas y las organizaciones deben permanecer alerta contra amenazas emergentes como el malware Lumma Stealer. Los métodos innovadores de los ciberdelincuentes resaltan la importancia de la educación y la concientización continuas sobre las tácticas de ingeniería social. Al implementar sólidas medidas de ciberseguridad, como protección avanzada de terminales y actualizaciones periódicas del sistema, los usuarios pueden proteger mejor sus sistemas de las amenazas en evolución. A medida que evolucionan las técnicas de distribución de malware, es esencial un enfoque proactivo para mantener la seguridad y proteger la información confidencial.
https://securitybrief.asia/story/fake-human-verification-pages-spread-lumma-stealer-malware
