Кампания, выявленная исследователями из Netskope Threat Labs, распространяет PDF-документы с поддельными изображениями CAPTCHA, размещаемые на таких платформах, как CDN Webflow и другие домены. Документы созданы для обмана пользователей, заставляя их выполнять команды PowerShell, что приводит к установке вредоносного ПО Lumma Stealer, способного похищать и кредитные данные.
PDF-файлы содержат ложные изображения CAPTCHA, которые обманывают пользователей и вынуждают их запускать команды PowerShell. С использованием техники ClickFix и команды MSHTA происходит перенаправление на сайт, где запускается скрипт PowerShell для установки Lumma Stealer и кражи информации о кредитных картах.
Netskope Threat Labs зафиксировал активность злоумышленников на 260 уникальных доменах и обнаружил около 5 000 фишинговых PDF-файлов. Как отметил исследователь Jan Michael Alcantara: «Атакующий использует SEO для обмана пользователей, вынуждая их переходить по результатам поисковых систем», что усиливает привлекательность вредоносных ссылок.
Атака затронула более 1 150 организаций и свыше 7 000 пользователей, начавшись со второй половины 2024 года. Пострадавшими оказались компании из технологического, финансового и производственного секторов, охваченные регионами Северной Америки, Азии и Южной Европы.
Некоторые PDF-файлы размещались на легитимных онлайн-хранилищах, таких как PDFCOFFEE, PDF4PRO, PDFBean и Internet Archive. Это позволяет злоумышленникам перенаправлять пользователей, ищущих законные документы, на страницы, выдающие поддельные CAPTCHA и вызывающие выполнение команд, ведущих к заражению системы.
В дополнение к основному способу распространения, Lumma Stealer маскируется под игры Roblox и взломанные версии Total Commander для Windows, а жертвы перенаправляются через YouTube-видео, загруженные с ранее скомпрометированных аккаунтов. Эксперт Silent Push предупреждает: «Злонамеренные ссылки и заражённые файлы часто маскируются в видео, комментариях или описаниях на YouTube, что требует повышенной осторожности при работе с непроверенными источниками».
Логи Lumma Stealer свободно распространяются на хакерском форуме Leaky[.]pro, который начал работу в декабре 2024 года. Модель Malware-as-a-Service предоставляет злоумышленникам все необходимые инструменты для сбора данных с инфицированных Windows-хостов.
В начале 2024 года была анонсирована интеграция Lumma Stealer с прокси-малварью GhostSocks, написанной на Golang. По оценке Infrawatch, «добавление функции SOCKS5 обратного подключения является весьма прибыльным для злоумышленников», так как позволяет обходить географические ограничения и проверки IP, повышая эффективность атак на финансовые учреждения и ценные объекты.
Среди прочих вредоносных программ, способных похищать данные, упоминаются Vidar и Atomic macOS Stealer (AMOS). Их распространение осуществляется с помощью метода ClickFix, в сочетании с приманками, ассоциированными с AI-чатботом DeepSeek, согласно данным Zscaler ThreatLabz и eSentire.
В некоторых атаках применяется техника обфускации JavaScript с использованием невидимых символов Юникода, где символ Hangul half-width (U+FFA0) обозначает бинарное 0, а Hangul full-width (U+3164) – бинарное 1. Метод, впервые зафиксированный в октябре 2024 года, преобразует каждый ASCII-символ в соответствующий символ Hangul, а исходный код, пытающийся вызвать отладчик, в случае обнаружения задержки перенаправляет на безопасный сайт, как подтвердили эксперты из Juniper Threat Labs.
Изображение носит иллюстративный характер
PDF-файлы содержат ложные изображения CAPTCHA, которые обманывают пользователей и вынуждают их запускать команды PowerShell. С использованием техники ClickFix и команды MSHTA происходит перенаправление на сайт, где запускается скрипт PowerShell для установки Lumma Stealer и кражи информации о кредитных картах.
Netskope Threat Labs зафиксировал активность злоумышленников на 260 уникальных доменах и обнаружил около 5 000 фишинговых PDF-файлов. Как отметил исследователь Jan Michael Alcantara: «Атакующий использует SEO для обмана пользователей, вынуждая их переходить по результатам поисковых систем», что усиливает привлекательность вредоносных ссылок.
Атака затронула более 1 150 организаций и свыше 7 000 пользователей, начавшись со второй половины 2024 года. Пострадавшими оказались компании из технологического, финансового и производственного секторов, охваченные регионами Северной Америки, Азии и Южной Европы.
Некоторые PDF-файлы размещались на легитимных онлайн-хранилищах, таких как PDFCOFFEE, PDF4PRO, PDFBean и Internet Archive. Это позволяет злоумышленникам перенаправлять пользователей, ищущих законные документы, на страницы, выдающие поддельные CAPTCHA и вызывающие выполнение команд, ведущих к заражению системы.
В дополнение к основному способу распространения, Lumma Stealer маскируется под игры Roblox и взломанные версии Total Commander для Windows, а жертвы перенаправляются через YouTube-видео, загруженные с ранее скомпрометированных аккаунтов. Эксперт Silent Push предупреждает: «Злонамеренные ссылки и заражённые файлы часто маскируются в видео, комментариях или описаниях на YouTube, что требует повышенной осторожности при работе с непроверенными источниками».
Логи Lumma Stealer свободно распространяются на хакерском форуме Leaky[.]pro, который начал работу в декабре 2024 года. Модель Malware-as-a-Service предоставляет злоумышленникам все необходимые инструменты для сбора данных с инфицированных Windows-хостов.
В начале 2024 года была анонсирована интеграция Lumma Stealer с прокси-малварью GhostSocks, написанной на Golang. По оценке Infrawatch, «добавление функции SOCKS5 обратного подключения является весьма прибыльным для злоумышленников», так как позволяет обходить географические ограничения и проверки IP, повышая эффективность атак на финансовые учреждения и ценные объекты.
Среди прочих вредоносных программ, способных похищать данные, упоминаются Vidar и Atomic macOS Stealer (AMOS). Их распространение осуществляется с помощью метода ClickFix, в сочетании с приманками, ассоциированными с AI-чатботом DeepSeek, согласно данным Zscaler ThreatLabz и eSentire.
В некоторых атаках применяется техника обфускации JavaScript с использованием невидимых символов Юникода, где символ Hangul half-width (U+FFA0) обозначает бинарное 0, а Hangul full-width (U+3164) – бинарное 1. Метод, впервые зафиксированный в октябре 2024 года, преобразует каждый ASCII-символ в соответствующий символ Hangul, а исходный код, пытающийся вызвать отладчик, в случае обнаружения задержки перенаправляет на безопасный сайт, как подтвердили эксперты из Juniper Threat Labs.
