PDFs com CAPTCHAs falsos espalham o malware Lumma Stealer via Webflow, GoDaddy e outros domínios

Pesquisadores identificaram uma ampla campanha de phishing que utiliza imagens de CAPTCHAs falsos em documentos PDF, hospedados na rede de distribuição de conteúdo (CDN) da Webflow, para disseminar o malware Lumma Stealer.

A equipe da Netskope Threat Labs revelou que 260 domínios únicos estão hospedando cerca de 5.000 arquivos PDF de phishing, que redirecionam as vítimas para sites maliciosos. "Os hackers utilizam técnicas de SEO para enganar os usuários, levando-os a visitar essas páginas por meio de resultados de busca fraudulentos", explicou o pesquisador de segurança Jan Michael Alcantara em um relatório compartilhado com o The Hacker News.

"Embora a maioria das páginas de phishing tenha como alvo roubar informações de cartões de crédito, alguns PDFs contêm CAPTCHAs falsos que induzem as vítimas a executar comandos maliciosos no PowerShell, resultando na infecção pelo Lumma Stealer." Estima-se que, desde a segunda metade de 2024, essa campanha tenha impactado mais de 1.150 organizações e 7.000 usuários, com ataques direcionados principalmente a vítimas na América do Norte, Ásia e sul da Europa, afetando setores como tecnologia, serviços financeiros e manufatura.

Dos 260 domínios identificados, a maioria está vinculada ao Webflow, seguida por outros associados a GoDaddy, Strikingly, Wix e Fastly. Os hackers também foram vistos enviando alguns desses PDFs a repositórios legítimos de documentos online, como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, manipulando os resultados de busca para atrair usuários desavisados.

Esses PDFs contêm imagens de CAPTCHAs fraudulentos que servem como isca para roubar dados de cartões de crédito. Em outros casos, os arquivos voltados para o Lumma Stealer apresentam imagens que, ao serem clicadas, levam a vítima a um site malicioso. Esse site se disfarça como uma página de verificação CAPTCHA e utiliza a técnica ClickFix para enganar o usuário, fazendo-o executar um comando MSHTA que ativa o malware via um script PowerShell.

Nas últimas semanas, o Lumma Stealer também apareceu disfarçado como jogos do Roblox e uma versão pirata da ferramenta Total Commander para Windows, evidenciando a variedade de métodos usados pelos hackers. Links para esses sites são distribuídos em vídeos no YouTube, possivelmente enviados a partir de contas previamente comprometidas.

"Links maliciosos e arquivos infectados frequentemente aparecem em vídeos, comentários ou descrições no YouTube", alertou a Silent Push. "Cautela e desconfiança com fontes não verificadas no YouTube, especialmente ao ser solicitado a clicar ou baixar algo, podem protéger contra essas ameaças crescentes."

A empresa de cibersegurança também descobriu que logs do Lumma Stealer estão sendo compartilhados gratuitamente em um fórum hacker relativamente novo, o Leaky[.]pro, que começou a operar no final de dezembro de 2024. O Lumma Stealer é uma solução completa de crimeware oferecida no modelo de malware como serviço (MaaS), capaz de coletar uma ampla gama de informações de sistemas Windows comprometidos. No início de 2024, seus operadores anunciaram a integração com um malware proxy baseado em Golang, chamado GhostSocks.

"A inclusão de uma função SOCKS5 backconnect em infecções existentes do Lumma, ou qualquer malware, é extremamente lucrativa para os hackers", destacou a Infrawatch. "Ao usar as conexões de internet das vítimas, os invasores conseguem burlar restrições geográficas e verificações de integridade baseadas em IP, especialmente aquelas impostas por instituições financeiras e outros alvos valiosos, aumentando as chances de sucesso em tentativas de acesso não autorizado com credenciais roubadas."

As revelações surgem enquanto outros malwares, como Vidar e Atomic macOS Stealer (AMOS), também estão sendo distribuídos pelo método ClickFix, usando iscas relacionadas ao chatbot de inteligência artificial DeepSeek, segundo a Zscaler ThreatLabz e a eSentire. Além disso, ataques de phishing foram detectados utilizando uma técnica de ofuscação em JavaScript com caracteres Unicode invisíveis para representar valores binários, uma prática documentada pela primeira vez em outubro de 2024.

Essa técnica utiliza caracteres de preenchimento Unicode, como Hangul meia-largura (U+FFA0) e Hangul largura total (U+3164), para representar 0 e 1, convertendo cada caractere ASCII do código JavaScript em equivalentes Hangul. "Os ataques foram altamente personalizados, incluindo informações não públicas, e o JavaScript inicial tentava invocar um ponto de interrupção de depuração se estivesse sendo analisado, detectava atrasos e abortava o ataque redirecionando para um site benigno", explicou a Juniper Threat Labs.

Via - THN