- La campaña de phishing imita un CAPTCHA para entregar comandos ocultos de malware
- Un comando de PowerShell oculto en la verificación desencadena un ataque de Lumma Stealer
- Educar a los usuarios sobre las tácticas de phishing es clave para prevenir este tipo de ataques.
CloudSek ha descubierto un método sofisticado para distribuir el malware Lumma Stealer que representa una seria amenaza para los usuarios de Windows.
Esta técnica se basa en páginas engañosas de verificación humana que engañan a los usuarios para que ejecuten comandos maliciosos sin saberlo.
Si bien la campaña se centra principalmente en difundir el malware Lumma Stealer, es probable que su metodología se adapte para distribuir una amplia gama de otros programas maliciosos.
Cómo funciona una campaña de phishing
La campaña utiliza plataformas confiables como Amazonas S3 y varias redes de entrega de contenido (CDN) alojan sitios de phishing, utilizando la entrega de malware estándar donde el archivo ejecutable inicial descarga componentes o módulos adicionales, lo que complica los esfuerzos de detección y análisis.
La cadena de infección en esta campaña de phishing comienza cuando los actores de amenazas atraen a las víctimas a sitios de phishing que imitan sitios legítimos. Google Páginas de verificación CAPTCHA. Estas páginas se presentan como un paso necesario para la verificación de identidad, engañando a los usuarios haciéndoles creer que están completando un control de seguridad estándar.
El ataque toma un giro más furtivo una vez que el usuario hace clic en el botón “verificar”. Detrás de escena, se activa una función oculta de JavaScript, que copia un comando de PowerShell codificado en Base64 al portapapeles del usuario sin su conocimiento. Luego, la página de phishing indica al usuario que realice una serie inusual de pasos, como abrir el cuadro de diálogo Ejecutar (Win+R) y pegar el comando copiado. Una vez seguidas estas instrucciones, ejecutan un comando de PowerShell en una ventana oculta, invisible para el usuario, lo que hace que la detección de la víctima sea casi imposible.
El comando oculto de PowerShell es el núcleo del ataque. Se conecta a un servidor remoto para descargar contenido adicional, como un archivo de texto (a.txt) que contiene instrucciones para recuperar y ejecutar el malware Lumma Stealer. Una vez que este malware se instala en el sistema, crea conexiones con dominios controlados por el atacante. Esto permite a los atacantes comprometer el sistema, robar datos confidenciales y potencialmente lanzar más actividades maliciosas.
Para protegerse contra esta campaña de phishing, tanto los usuarios como las organizaciones deben priorizar la concienciación sobre la seguridad e implementar defensas proactivas. El primer paso crucial es la educación del usuario.
La naturaleza engañosa de estos ataques (disfrazados de comprobaciones legítimas) resalta la importancia de informar a los usuarios sobre los riesgos de seguir afirmaciones sospechosas, especialmente cuando se les pide que copien y peguen comandos desconocidos. Los usuarios deben estar capacitados para reconocer tácticas de phishing y preguntar sobre verificaciones CAPTCHA inesperadas o instrucciones desconocidas relacionadas con la ejecución de comandos del sistema.
Además de la educación, implementar una sólida protección de endpoints es esencial para defenderse de los ataques basados en PowerShell. Dado que los atacantes de esta campaña dependen en gran medida de PowerShell para ejecutar código malicioso, las organizaciones deben asegurarse de que sus soluciones de seguridad puedan detectar y bloquear estas actividades. Las herramientas avanzadas de protección de endpoints con análisis de comportamiento y monitoreo en tiempo real pueden detectar ejecuciones de comandos inusuales, lo que ayuda a prevenir descargas e instalaciones de malware.
Las organizaciones también deben adoptar un enfoque proactivo monitoreando el tráfico de la red en busca de actividades sospechosas. Los equipos de seguridad deben prestar mucha atención a las conexiones con dominios recién registrados o poco comunes, que los atacantes suelen utilizar para distribuir malware o robar datos confidenciales.
Por último, mantener los sistemas actualizados con los últimos parches es un mecanismo de defensa crucial. Las actualizaciones periódicas garantizan que se aborden las vulnerabilidades conocidas, lo que reduce la oportunidad de que los atacantes aprovechen el software obsoleto en sus esfuerzos por distribuir malware como Lumma Stealer.
“Esta nueva táctica es particularmente peligrosa porque juega con la confianza de los usuarios en los controles CAPTCHA ampliamente reconocidos, que encuentran regularmente en línea. Al ocultar actividad maliciosa detrás de lo que parece ser un control de seguridad de rutina, los atacantes pueden engañar fácilmente a los usuarios para que ejecuten comandos maliciosos. en sus ordenadores. Lo que es aún más preocupante es que esta tecnología, que actualmente distribuye Lumma Stealer, puede adaptarse para propagar otros tipos de malware, lo que la convierte en una amenaza muy versátil y sofisticada.