Fake CAPTCHA PDF soubory šíří malware Lumma Stealer

Kyberbezpečnostní výzkumníci odhalili rozsáhlou phishingovou kampaň, která využívá falešné CAPTCHA obrázky v PDF souborech k distribuci malwaru Lumma Stealer. Tyto soubory jsou hostovány na legitimních doménách, jako jsou Webflow, GoDaddy, Wix a Fastly, a útočníci je propagují prostřednictvím manipulace SEO.

Jak funguje útok?

Falešné PDF soubory jsou umístěny na servery populárních webových platforem a sdíleny v online knihovnách a repozitářích PDF, jako jsou PDFCOFFEE nebo Internet Archive. Uživatelé je najdou přes vyhledávače, kde se objevují mezi běžnými výsledky.

Po otevření PDF obsahuje: falešnou CAPTCHA (ke krádeži platebních údajů), nebo obrázek s odkazem na „stažení dokumentu“, který přesměruje oběť na škodlivou webovou stránku. Stránka se tváří jako CAPTCHA ověřovací formulář, ale ve skutečnosti přes ClickFix techniku spouští MSHTA skript, který stáhne PowerShell kód a nakonec nainstaluje Lumma Stealer.

Kdo je cílem?

Kampaň zasáhla více než 1 150 organizací a přes 7 000 uživatelů od druhé poloviny roku 2024, především v Severní Americe, Asii a jižní Evropě. Nejčastějšími cíli jsou technologické firmy, finanční sektor a výrobní společnosti.

Lumma Stealer: Nebezpečný malware jako služba (MaaS)

Lumma Stealer je důmyslný malware, který se šíří pod modelem malware-as-a-service (MaaS). Kyberzločinci jej využívají ke krádeži citlivých dat z infikovaných zařízení se systémem Windows.

V roce 2024 jeho autoři přidali SOCKS5 proxy funkci (GhostSocks), která útočníkům umožňuje obcházet geografická omezení (např. bankovní systémy), provádět anonymní útoky z napadených zařízení či zvyšovat úspěšnost přihlašování ukradenými přihlašovacími údaji.

Odcizená data se zdarma sdílejí na hackerském fóru Leaky[.]pro, které vzniklo koncem roku 2024.

Další způsoby šíření Lumma Stealer

Útočníci experimentují s různými metodami, jak malware šířit:

– YouTube – falešné návody a odkazy na „cracknuté“ verze softwaru, jako je Total Commander nebo Roblox hry.

– ClickFix technika – přesvědčí uživatele ke kliknutí na falešný CAPTCHA test, čímž se aktivuje stahování škodlivého souboru.

– Zneužití JavaScriptu – využívání neviditelných Unicode znaků k obfuskaci kódu (např. Hangul U+FFA0 a U+3164).

Jak se chránit?

– Buďte opatrní při stahování PDF souborů – vždy ověřujte zdroj.

– Nepoužívejte odkazy z YouTube komentářů nebo popisů videí.

– Vyhýbejte se stránkám, které vyžadují „CAPTCHA ověření“ mimo běžné prostředí.

– Zablokujte PowerShell a MSHTA v podnikových sítích, pokud nejsou nutné.

– Používejte bezpečnostní software s detekcí infostealerů.

Útoky typu „Fake CAPTCHA PDF“ cílí na důvěřivé uživatele, kteří hledají běžné dokumenty online. Firmy by měly monitorovat webový provoz, zavést DLP ochranu proti únikům dat a školit zaměstnance, aby rozpoznali známky phishingových útoků.

Zdroj: thehackernews.com

Zdroj ilustračního obrázku: AI Adobe Firefly