- Investigadores de seguridad han descubierto una campaña de distribución de malware Lumma Stealer
- La página CAPTCHA falsa viene con JavaScript que copia el código malicioso al portapapeles
- Para “resolver” el CAPTCHA falso, se pide a los usuarios que peguen el código en CMD y lo ejecuten
Se utilizan páginas CAPTCHA falsas para engañar a las víctimas para que descarguen y ejecuten Lumma infostealer malware.
Los investigadores de seguridad de Guardio Labs descubrieron recientemente una importante operación maliciosa dirigida a millones de personas, llamada “DeceptionAds”.
La campaña hace un mal uso de dos servicios legítimos, la red publicitaria Monetag y BeMob, una plataforma de seguimiento del desempeño basada en la nube. Comienza con anuncios falsos, que promocionan cosas que atraen a la audiencia del sitio anfitrión, como ofertas falsas, descargas o diversos servicios, con la afluencia de piratas informáticos y plataformas de software que parecen estar entre los temas más populares.
Hábito de serpiente
Cuando la víctima hace clic en el anuncio, es redirigida a una página CAPTCHA falsa a través del servicio de anonimización de BeMob. Esto dificulta la moderación, ya que BeMob es un servicio legítimo y, como tal, no se elimina de la red publicitaria de Monetag de forma predeterminada.
“Al proporcionar una URL benigna de BeMob al sistema de gestión de anuncios de Monetag en lugar de una página captcha falsa directa, los atacantes aprovecharon la reputación de BeMob, complicando los esfuerzos de moderación de contenido de Monetag”, dijo Nati Tal, presidente de Guardio Labs, en un artículo escrito.
La página CAPTCHA viene con un fragmento de código JavaScript que copia el comando malicioso de una línea de PowerShell en el portapapeles. Sin embargo, la víctima aún necesita pegar este código en CMD y ejecutarlo, y ahí es donde entra en juego la “solución” CAPTCHA. Para resolver el CAPTCHA, los usuarios deben abrir el cuadro de diálogo Ejecutar de Windows, presionar CTRL + V (Pegar) y luego presionar Enter.
Esto ejecuta el comando que descarga y ejecuta Lumma Stealer. El grupo detrás del ataque se llama Vane Viper.
Lumma es una famosa ladrona de información en la sociedad secreta. Es capaz de robar una amplia gama de información confidencial, incluidas billeteras de criptomonedas, datos del navegador, credenciales de correo electrónico, información financiera, datos de clientes FTP e información del sistema.
Cuando Monetag y BeMob fueron notificados de la campaña, ambas empresas intervinieron para abordar el problema. Monetag eliminó 200 cuentas, mientras que BeMob finalizó la campaña en cuatro días.
a través de pitidocomputadora