Hackers usam CAPTCHAs falsos para instalar trojan Lumma Stealer em PCs

O mais recente relatório Threat Insights da HP revelou um aumento nas campanhas maliciosas que utilizam CAPTCHAs falsos para enganar usuários e executar comandos PowerShell que instalam o trojan de acesso remoto Lumma Stealer (RAT).

De acordo com a HP, os hackers estão se aproveitando do que chamam de “tolerância ao clique”, ou seja, o hábito crescente dos usuários em passar por várias etapas de autenticação online. Nessa campanha, os usuários eram redirecionados para sites controlados pelos invasores e instruídos a completar desafios falsos de verificação. Durante esse processo, comandos maliciosos eram executados em segundo plano, levando à instalação do Lumma Stealer RAT no computador da vítima.

O Dr. Ian Pratt, chefe global de segurança de sistemas pessoais da HP, comentou: “A autenticação em múltiplas etapas se tornou padrão, o que aumenta nossa tolerância ao clique. A pesquisa mostra que os usuários percorrem várias etapas da cadeia de infecção, evidenciando as limitações do treinamento em conscientização cibernética”. Ele acrescenta que, diante de ameaças cada vez mais imprevisíveis, intensificadas pelo uso de IA, as organizações devem focar em reduzir a superfície de ataque, isolando ações arriscadas como cliques suspeitos para se protegerem sem precisar prever o próximo tipo de ataque.

O relatório também revelou que pelo menos 11% das ameaças por e-mail detectadas pela solução HP Sure Click conseguiram escapar de um ou mais filtros tradicionais de segurança de e-mail. Entre os principais vetores de entrega de malware estão os arquivos executáveis (43%) e os arquivos compactados (32%).

RATs distribuídos em múltiplas campanhas

Em outra campanha identificada, hackers disseminaram o XenoRAT, um trojan de acesso remoto de código aberto com recursos avançados de espionagem, como gravação de áudio pelo microfone e captura de imagens pela webcam. Utilizando engenharia social, os criminosos convenciam as vítimas a habilitar macros em documentos Word e Excel reforçando que esses programas ainda são canais perigosos para infecção por malware.

A HP também detectou o uso de imagens SVG contendo JavaScript malicioso para burlar mecanismos de detecção tradicionais. Como navegadores executam esse tipo de imagem automaticamente, o código é acionado e permite o envio de diversos payloads, incluindo RATs e infostealers. A tática oferece redundância e várias formas de monetização aos invasores. Parte dessas infecções ainda envolvia o uso de scripts Python ofuscados para instalar os malwares. A popularidade crescente do Python impulsionada pelo uso em IA e ciência de dados torna a linguagem cada vez mais atraente para hackers, já que seu interpretador costuma vir pré-instalado em diversos sistemas.

Via - ISM