假CAPTCHA PDF传播 Lumma Stealer窃密木马

安全研究人员发现一场广泛的网络钓鱼活动，该活动使用通过托管在 Webflow 内容交付网络 (CDN) 上的 PDF 文档共享的虚假 CAPTCHA 图像来传播 Lumma 窃密恶意软件。

Netskope Threat Labs 表示，它发现了 260 个唯一域名，其中托管了 5,000 个钓鱼 PDF 文件，这些文件会将受害者重定向到恶意网站。

安全研究员 Jan Michael Alcantara在一份报告中表示： “攻击者利用 SEO 诱骗受害者点击恶意搜索引擎结果来访问页面。”

“虽然大多数网络钓鱼页面都专注于窃取信用卡信息，但一些 PDF 文件包含伪造的 CAPTCHA，诱骗受害者执行恶意 PowerShell 命令，最终导致 Lumma Stealer 恶意软件。”

据估计，自 2024 年下半年以来，网络钓鱼活动已影响了 1,150 多个组织和 7,000 多名用户，攻击主要针对北美、亚洲和南欧的技术、金融服务和制造业领域的受害者。

在已确定托管虚假 PDF 的 260 个域名中，大多数与 Webflow 相关，其次是与 GoDaddy、Strikingly、Wix 和 Fastly 相关的域名。

我们还观察到攻击者将一些 PDF 文件上传到合法的在线图书馆和 PDF 存储库，如 PDFCOFFEE、PDF4PRO、PDFBean 和 Internet Archive，这样在搜索引擎上搜索 PDF 文档的用户就会被引导到这些存储库。

PDF 中包含虚假的 CAPTCHA 图像，可作为窃取信用卡信息的渠道。此外，分发 Lumma Stealer 的程序还包含用于下载文档的图像，受害者点击后会进入恶意网站。

该网站伪装成一个虚假的 CAPTCHA 验证页面，采用ClickFix 技术诱骗受害者运行 MSHTA 命令，该命令通过 PowerShell 脚本执行窃密木马。

最近几周，Lumma Stealer 还伪装成 Roblox 游戏和适用于 Windows 的 Total Commander 工具的破解版本，突显威胁组织采用的多种交付机制。用户通过可能从之前被入侵的帐户上传的 YouTube 视频被重定向到这些网站。

Silent Push表示： “恶意链接和受感染的文件经常隐藏在 YouTube 视频、评论或描述中。在与 YouTube 内容互动时，尤其是在被提示下载或点击链接时，保持谨慎并对未经验证的来源持怀疑态度，有助于防范这些日益严重的威胁。”

该网络安全公司进一步发现，Lumma Stealer 日志正在一个相对较新的黑客论坛 Leaky[.]pro 上免费共享，该论坛于 2024 年 12 月下旬开始运营。

Lumma Stealer 是一款功能齐全的犯罪软件解决方案，以恶意软件即服务 (MaaS) 模式出售，为网络犯罪分子提供了一种从受感染的 Windows 主机中获取大量信息的方法。2024 年初，该恶意软件运营商宣布与基于 Golang 的代理恶意软件 GhostSocks 进行集成。

Infrawatch表示：“在现有的 Lumma 感染或任何恶意软件中添加 SOCKS5 反向连接功能，对于威胁组织来说非常有利可图。”

“通过利用受害者的互联网连接，攻击者可以绕过地理限制和基于 IP 的完整性检查，特别是金融机构和其他高价值目标强制执行的限制。此功能大大增加了使用通过信息窃取程序日志收集的凭据进行未经授权的访问尝试的成功概率，进一步增强了 Lumma 感染的后利用价值。”

技术报告：

https://www.netskope.com/blog/fake-captchas-malicious-pdfs-seo-traps-leveraged-for-user-manual-searches

新闻链接：

https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html

讲述普通人能听懂的安全故事