La sofisticada campaña de malware utiliza la página de verificación de captura falsa para distribuir Lumma Stealer, un malware de información avanzada que ha sido significativamente impulsado en el mercado subterráneo desde su debut en 2022.
A partir de marzo de 2025, esta operación de Malware As-A-Service (MAAS) mantendrá a más de 1,000 suscriptores activos, con precios de suscripción que comienzan en $ 250.
Ataque de captura falsa
Kaspersky informa que los vectores de ataque utilizan la habituación del usuario con sistemas de verificación populares como Google Recaptcha y Cloudflare Captcha.
Las víctimas generalmente encuentran estas páginas de validación falsa a través de dos canales principales. Los sitios web de medios pirateados clon con anuncios maliciosos inyectados y canales de telégrafo fraudulentos disfrazados de criptomonedas o comunidades de contenido pirateados.
Cuando los usuarios visitan estas páginas engañosas, ven lo que parece ser la interfaz de verificación CaptCha estándar, incluyendo “No soy un robot o” verificar “los botones.
Ejemplo de páginas de captura falsas
El mecanismo ominoso se activa cuando el usuario hace clic en este botón. Esto copia en secreto el mando de PowerShell malicioso al portapapeles.
El engaño es particularmente efectivo ya que le indica a la víctima que realice una secuencia claramente inofensiva. Abra el cuadro de diálogo Ejecutar usando Win+R, presione CTRL+V, luego presione ENTER.
La víctima ejecuta involuntariamente el comando.
Este comando descarga un script PowerShell codificado por Base64 que inicia la cadena de infección de Lumma Stealer.
Proceso de infección técnica
El proceso de infección emplea múltiples técnicas sofisticadas para evitar la detección. Cuando se ejecute, el malware descargará el archivo zip. Normalmente, extraería su contenido en una carpeta oculta en %AppData %\ Roaming \ y establecería la persistencia creando una entrada de registro en HKCU: \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
En escenarios más complejos, el malware implementa un enfoque de múltiples capas utilizando el código JavaScript oculto en archivos multimedia aparentemente inocentes.
La cadena de infección contiene un código de ofuscación que se ejecutó a través del motor de aplicación HTML de Microsoft (mshta.exe) que finalmente descargará y ejecutará la carga útil de Lumma.
Lumma emplea dos métodos de infección principales para evitar soluciones de seguridad:
DLL Sidelading – Explotar aplicaciones de confianza para cargar bibliotecas de enlaces dinámicos maliciosos. Inyectar código malicioso en la sección de superposición del software legítimo.
El malware también escanea productos de seguridad como Avast, AVG, McAfee y Bitdefender para realizar cheques antialalíticos antes de implementar la carga útil.
Ejecución de carga útil final
Función de eliminación de datos
Una vez instalado, Lumma Stealer se dirige a una amplia gama de información confidencial.
Credenciales de billetera de criptomonedas y extensiones del navegador (incluida Meta Mask). Datos de autenticación de dos factores (2FA). Credenciales y cookies guardadas en su navegador. Credenciales de herramientas de acceso remoto (por ejemplo, AnyDesk). Datos del administrador de contraseñas (incluido Keepass). Información financiera, como números de tarjetas de crédito.
Los datos robados se envían a un servidor de comando y control (C2) a través de solicitudes de publicación HTTP cifradas a dominios como la tienda Renforcenh (.) Y ShogeneratMns (.) Tienda.
Los expertos en seguridad recomiendan una mayor vigilancia al encontrar páginas de verificación Captcha, particularmente en sitios que proporcionan contenido pirateado y servicios de criptomonedas.
Los usuarios no deben ejecutar comandos desde el portapapeles sin comprender la funcionalidad, especialmente si lo solicitan un proceso de validación inesperado.
Incluso en entornos corporativos, las organizaciones están a la vanguardia de las infecciones de Ranma Stealer, que pueden servir como una puerta de enlace para ataques catastróficos como el ransomware, por lo que necesitan implementar soluciones sólidas de protección de puntos finales y capacitación cognitiva de usuarios para mitigar los riesgos planteados por amenazas cada vez más comunes.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
