El malware Lumma Stealer se propaga a dispositivos Windows a través de páginas de verificación humana falsas, dice CloudSEK

Lumma Stealer, un malware de robo de información recientemente identificado, se distribuye a los usuarios a través de páginas humanas verificadas. Según investigadores de la empresa de ciberseguridad CloudSEK, el malware se dirige a dispositivos Windows y está diseñado para robar información confidencial del dispositivo infectado. De hecho, los investigadores han descubierto muchos sitios web de phishing que utilizan estas páginas verificadas para engañar a los usuarios para que descarguen malware. Los investigadores de CloudSEK han advertido a las organizaciones que implementen soluciones de seguridad para terminales y capaciten al personal y a los usuarios con esta nueva estrategia de ingeniería social.

Malware Lumma Stealer distribuido mediante un nuevo método de phishing

Según CloudSEK informeSe descubrió que muchos sitios web activos propagaban el malware Lumma Stealer. Este método fue el primero descubierto por Unit42 en Palo Alto Networks, una empresa de ciberseguridad, pero ahora se cree que la amplitud de la cadena de distribución es mayor de lo que se pensaba anteriormente.

Los atacantes han creado varios sitios web maliciosos e instalado un sistema de autenticación falso, similar a la prueba pública de Turing completamente automatizada de Google para diferenciar la página Computadoras y humanos (CAPTCHA). Sin embargo, a diferencia de una página CAPTCHA normal donde los usuarios tienen que marcar algunas casillas o realizar tareas similares para demostrar que no son un bot, las páginas falsas indican al usuario que ejecute comandos que no son inusuales.

En un caso, los investigadores vieron una página de autenticación falsa que pedía a los usuarios que ejecutaran un script de PowerShell. Los scripts de PowerShell contienen una serie de comandos que se pueden ejecutar en el cuadro de diálogo Ejecutar. En este caso, se encontraron comandos para recuperar contenido de un archivo.txt alojado en un servidor remoto. Esto provocó que el archivo se descargara y extrajera del sistema Windows, infectándolo con Lumma Stealer.

El informe también enumera URL maliciosas que se detectaron distribuyendo malware a usuarios desprevenidos. Sin embargo, esta no es una lista completa y es posible que existan sitios web que lleven a cabo el ataque.

• hxxps[://]genio-heroico-2b372e[.]netificar[.]aplicación/por favor-verificar-z[.]HTML

• hxxps[://]fipydslaongos[.]b-cdn[.]net/por favor-verificar-z[.]HTML

• hxxps[://]sdkjhfdskjnck[.]s3[.]amazonas[.]com/sistema-de-verificación-humana[.]HTML

• hxxps[://]confirmar humano476[.]b-cdn[.]sistema de verificación de red/persona[.]HTML

• hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/persona-verificar-sistema[.]HTML

• hxxps[://]confirmar humano476[.]b-cdn[.]sistema de verificación de red/persona[.]HTML

• hxxps[://]nuevos sitios de videos[.]clic/verdadero[.]HTML

• hxxps[://]cap3[.]dlvideosfre[.]haga clic en /persona-verificar-sistema[.]HTML

• hxxps[://]nuevos sitios de videos[.]clic/verdadero[.]HTML

• hxxps[://]offsetvideofre[.]hacer clic

Los investigadores también notaron que se utilizaron redes de entrega de contenido (CDN) para distribuir estas páginas de verificación falsas. Además, se vio a los atacantes utilizando codificación base64 y manipulación del portapapeles para evadir la detección. También es posible ejecutar otros programas maliciosos del mismo modo, aunque hasta el momento no se han visto casos de este tipo.

Dado que el modus operandi del ataque se basa en técnicas de phishing, ningún parche de seguridad puede evitar que los dispositivos se infecten. Sin embargo, existen medidas que los usuarios y las organizaciones pueden tomar para protegerse contra el malware ladrón de Lumma.

Según el informe, se debe informar a los usuarios y empleados sobre esta táctica de phishing para ayudarlos a no caer en ella. Además, las organizaciones deben implementar y mantener soluciones de seguridad confiables para detectar y prevenir ataques basados ​​en PowerShell. Además, también debería ser útil actualizar y parchear periódicamente las aplicaciones para reducir las vulnerabilidades que el malware Lumma Stealer puede explotar.