El malware que roba Lumma se propaga a dispositivos Windows a través de una página de verificación humana falsa, dice CloudSEK

Lumma Stealer, un malware de robo de información identificado recientemente, se distribuye a los usuarios a través de páginas falsas de verificación humana. Según investigadores de la empresa de ciberseguridad CloudSEK, el malware se dirige a dispositivos Windows y está diseñado para robar información confidencial de dispositivos infectados. Lo preocupante es que los investigadores han descubierto varios sitios de phishing que distribuyen estas páginas de verificación falsas para engañar a los usuarios para que descarguen el malware. Los investigadores de CloudSEK han advertido a las organizaciones que implementen soluciones de protección de terminales y capaciten a los empleados y usuarios sobre esta nueva táctica de ingeniería social.

El malware Lumma Thief se distribuye mediante una nueva técnica de phishing

Según CloudSEK informeSe descubrió que varios sitios web activos propagaban el malware Lumma Stealer. la primera tecnica he encontrado por Unit42 en Palo Alto Networks, una empresa de ciberseguridad, pero ahora se cree que el alcance de su cadena de distribución es mucho mayor de lo que se pensaba anteriormente.

Los atacantes han creado varios sitios web maliciosos y han añadido sistemas de verificación humana falsos, parecidos a la prueba pública de Turing totalmente automatizada de Google para diferenciar ordenadores y humanos (CAPTCHA). Sin embargo, a diferencia de las páginas CAPTCHA normales donde los usuarios tienen que marcar algunas casillas o realizar tareas similares basadas en patrones para demostrar que no son bots, las páginas falsas instruyen a los usuarios a ejecutar algunos comandos inusuales.

En un ejemplo, los investigadores vieron una página de verificación falsa que pedía a los usuarios que ejecutaran un script de PowerShell. Los scripts de PowerShell contienen una serie de comandos que se pueden ejecutar en el cuadro de diálogo Ejecutar. En este caso, se encontró un comando para recuperar el contenido de un archivo.txt alojado en un servidor remoto. Esto fomenta la descarga y extracción de archivos en sistemas Windows, infectándolos con Lumma Stealer.

El informe también enumera URL maliciosas que parecen distribuir malware a usuarios desprevenidos. Sin embargo, esta no es una lista completa y es posible que haya más sitios web similares que lleven a cabo este tipo de ataques.

• hxxps[://]genios-heroicos-2b372e[.]netlificar[.]aplicación/por favor-verificar-z[.]HTML

• hxxps[://]fipydslaongos[.]b-cdn[.]net/por favor-verificar-z[.]HTML

• hxxps[://]sdkjhfdskjnck[.]s3[.]Amazon.com[.]com/sistema-de-verificación-humana[.]HTML

• hxxps[://]humanoverificar476[.]b-cdn[.]sistema-de-verificación-net/humano[.]HTML

• hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/sistema-de-verificación-humana[.]HTML

• hxxps[://]humanoverificar476[.]b-cdn[.]sistema-de-verificación-net/humano[.]HTML

• hxxps[://]nueva zona de vídeo[.]hacer clic/corregir[.]HTML

• hxxps[://]capitulo 3[.]dlvideosfre[.]clic/sistema-de-verificación-humana[.]HTML

• hxxps[://]nueva zona de vídeo[.]hacer clic/corregir[.]HTML

• hxxps[://]offsetvideofre[.]hacer clic

Los investigadores también observaron que se utilizaban redes de entrega de contenidos (CDN) para propagar estas páginas de verificación falsas. Además, se vio a los atacantes utilizando codificación base64 y manipulación del portapapeles para eludir la manifestación. También es posible distribuir otros programas maliciosos utilizando la misma técnica, aunque hasta el momento no se han visto casos de este tipo.

Dado que el modus operandi del ataque se basa en técnicas de phishing, ningún parche de seguridad puede evitar que los dispositivos se infecten. Sin embargo, existen medidas que los usuarios y las organizaciones pueden tomar para protegerse del malware de robo de Lumma.

Según los informes, los usuarios y empleados deben ser informados sobre estas tácticas de phishing para que no caigan en ellas. Además, las organizaciones deben implementar y mantener una solución confiable de protección de endpoints para detectar y bloquear ataques basados ​​en PowerShell. Además, también será útil actualizar y parchear periódicamente el sistema para reducir las vulnerabilidades que el malware Lumma Stealer puede explotar.