• 23 enero, 2025

Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de malware que aprovecha las verificaciones de verificación CAPTCHA falsas para entregar el infame ladrón de información Lumma.

“La campaña es global, con Netskope Threat Labs rastreando víctimas en Argentina, Colombia, Estados Unidos, Filipinas y otros países del mundo”, dijo Leandro Fróes, ingeniero senior de investigación de amenazas de Netskope Threat Labs, en un informe compartido con The Hacker News.

“La campaña también abarca múltiples industrias, incluidas la atención médica, la banca y el marketing, y la industria de las telecomunicaciones tiene el mayor número de organizaciones objetivo”.

La cadena de ataque comienza cuando una víctima visita un sitio web comprometido, que la dirige a una página CAPTCHA falsa que indica específicamente al visitante del sitio que copie y pegue un comando en el símbolo del sistema de ejecución en Windows que utiliza el binario mshta.exe nativo para descargar y ejecutar un archivo HTA desde un servidor remoto.

Vale la pena señalar que una iteración anterior de esta técnica, ampliamente conocida como ClickFix, involucró la ejecución de un script de PowerShell codificado en Base64 para desencadenar la infección Lumma Stealer.

El archivo HTA, a su vez, ejecuta un comando de PowerShell para iniciar una carga útil de la siguiente etapa, un script de PowerShell que desempaqueta un segundo script de PowerShell responsable de decodificar y cargar la carga útil de Lumma, pero no antes de tomar medidas para omitir la interfaz de análisis antimalware de Windows (AMSI) en un esfuerzo por evadir la detección.

“Al descargar y ejecutar malware de esta manera, el atacante evita las defensas basadas en el navegador, ya que la víctima realizará todos los pasos necesarios fuera del contexto del navegador”, explicó Fróes.

“El Lumma Stealer opera utilizando el modelo de malware como servicio (MaaS) y ha estado extremadamente activo en los últimos meses. Al utilizar diferentes métodos de entrega y cargas útiles, hace que la detección y el bloqueo de dichas amenazas sean más complejos, especialmente cuando se abusa de las interacciones del usuario dentro del sistema”.

Campaña de CAPTCHA falso

Recientemente, este mes, Lumma también se ha distribuido a través de aproximadamente 1.000 dominios falsos que se hacen pasar por Reddit y WeTransfer y que redirigen a los usuarios a descargar archivos protegidos con contraseña.

Estos archivos de almacenamiento contienen un cuentagotas de AutoIT denominado SelfAU3 Dropper que posteriormente ejecuta al ladrón, según el investigador de Sekoia crep1x. A principios de 2023, los actores de amenazas aprovecharon una técnica similar para poner en marcha más de 1.300 dominios disfrazados de AnyDesk con el fin de impulsar el malware Vidar Stealer.

El desarrollo se produce cuando Barracuda Networks detalló una versión actualizada del kit de herramientas de phishing como servicio (PhaaS) conocido como Tycoon 2FA que incluye funciones avanzadas para “obstruir, descarrilar y frustrar los intentos de las herramientas de seguridad de confirmar su intención maliciosa e inspeccionar sus páginas web”.

Estos incluyen el uso de cuentas de correo electrónico legítimas, posiblemente comprometidas, para enviar correos electrónicos de phishing y tomar una serie de medidas para evitar el análisis mediante la detección de scripts de seguridad automatizados, la escucha de las pulsaciones de teclas que sugieren una inspección web y la desactivación del menú contextual del botón derecho.

También se han observado ataques de recolección de credenciales orientados a la ingeniería social que aprovechan el proveedor de avatares Gravatar para imitar varios servicios legítimos como AT&T, Comcast, Eastlink, Infinity, Kojeko y Proton Mail.

“Al explotar los ‘Perfiles como servicio’ de Gravatar, los atacantes crean perfiles falsos convincentes que imitan servicios legítimos, engañando a los usuarios para que divulguen sus credenciales”, dijo el CTO de SlashNext Field, Stephen Kowski.

“En lugar de intentos genéricos de phishing, los atacantes adaptan sus perfiles falsos para que se parezcan a los servicios legítimos que están imitando de cerca a través de servicios que a menudo no se conocen o protegen”.

Post Tags :

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Copyright © 2025 Design by Boomerang Media

Background

¡Únete a la comunidad!

Sé parte de CISOCLUB, el punto de encuentro para expertos, líderes y apasionados de la ciberseguridad. Conéctate con profesionales influyentes, accede a contenido exclusivo, participa en eventos únicos y amplía tu red de contactos.

Regístrate