Peneliti cybersecurity telah mengungkap kampanye phishing yang meluas yang menggunakan gambar captcha palsu yang dibagikan melalui dokumen PDF yang dihosting di Webflow's Delivery Network (CDN) untuk mengirimkan malware pencuri Lumma.
Netskope Ancaman Labs mengatakan menemukan 260 domain unik yang menampung 5.000 file PDF phishing yang mengarahkan korban ke situs web jahat.
“Penyerang menggunakan SEO untuk menipu para korban agar mengunjungi halaman -halaman dengan mengklik hasil mesin pencari yang berbahaya,” kata peneliti keamanan Jan Michael Alcantara dalam sebuah laporan yang dibagikan kepada Hacker News.
“Sementara sebagian besar halaman phishing fokus mencuri informasi kartu kredit, beberapa file PDF berisi captcha palsu yang menipu para korban untuk melaksanakan perintah PowerShell berbahaya, yang pada akhirnya mengarah ke malware pencuri Lumma.”
Kampanye phishing diperkirakan telah mempengaruhi lebih dari 1.150 organisasi dan lebih dari 7.000 pengguna sejak paruh kedua tahun 2024, dengan serangan terutama memilih korban di Amerika Utara, Asia, dan Eropa Selatan di seluruh teknologi, jasa keuangan, dan sektor manufaktur.
Dari 260 domain yang diidentifikasi untuk menjadi tuan rumah PDF palsu, sebagian besar dari mereka terkait dengan Webflow, diikuti oleh yang terkait dengan Godaddy, mencolok, Wix, dan dengan cepat.
Penyerang juga telah diamati mengunggah beberapa file PDF ke perpustakaan online yang sah dan repositori PDF seperti PDFCOFFEE, PDF4PRO, PDFBEAN, dan Arsip Internet, sehingga pengguna yang mencari dokumen PDF di mesin pencari diarahkan kepada mereka.
PDF berisi gambar captcha curang yang bertindak sebagai saluran untuk mencuri informasi kartu kredit. Atau, mereka yang mendistribusikan Lumma Stealer berisi gambar untuk mengunduh dokumen yang, ketika diklik, membawa korban ke situs jahat.
Untuk bagiannya, situs ini menyamar sebagai halaman verifikasi captcha palsu yang menggunakan teknik clickfix untuk menipu korban agar menjalankan perintah mshta yang mengeksekusi malware pencuri melalui skrip powershell.
Dalam beberapa minggu terakhir, Lumma Stealer juga telah disamarkan sebagai game Roblox dan versi retak dari Total Commander Tool untuk Windows, menyoroti berbagai mekanisme pengiriman yang diadopsi oleh berbagai aktor ancaman. Pengguna diarahkan ke situs web ini melalui video YouTube yang kemungkinan diunggah dari akun yang sebelumnya dikompromikan.
“Tautan berbahaya dan file yang terinfeksi sering disamarkan [YouTube videos, comments, or descriptions,” Silent Push said. “Exercising caution and being skeptical of unverified sources when interacting with YouTube content, especially when prompted to download or click on links, can help protect against these growing threats.”
The cybersecurity company further found that Lumma Stealer logs are being shared for free on a relatively new hacking forum called Leaky[.]Pro yang beroperasi pada akhir Desember 2024.
Lumma Stealer adalah solusi krimeware lengkap yang ditawarkan untuk dijual di bawah model malware-as-a-service (MAAS), memberikan cara untuk memanen berbagai informasi dari host Windows yang dikompromikan. Pada awal 2024, operator malware mengumumkan integrasi dengan malware proxy berbasis Golang bernama Ghostsocks.
“Penambahan fitur backconnect Socks5 ke infeksi lumma yang ada, atau malware apa pun dalam hal ini, sangat menguntungkan bagi para aktor ancaman,” kata Infrawatch.
“Dengan memanfaatkan koneksi internet korban, penyerang dapat mem-bypass pembatasan geografis dan pemeriksaan integritas berbasis IP, terutama yang ditegakkan oleh lembaga keuangan dan target bernilai tinggi lainnya. Kemampuan ini secara signifikan meningkatkan probabilitas keberhasilan untuk upaya akses yang tidak sah menggunakan kredensial yang dipanen melalui infostealer.
Pengungkapan datang sebagai pencuri malware seperti Vidar dan atomic macos stealer (AMOS) didistribusikan menggunakan metode clickFix melalui umpan untuk chatbot intelijen buatan deepseek (AI), menurut Zscaler Ancaman dan Esentire.
Serangan phishing juga terlihat menyalahgunakan metode pengayaan JavaScript yang menggunakan karakter unicode yang tidak terlihat untuk mewakili nilai biner, teknik yang pertama kali didokumentasikan pada Oktober 2024.
Pendekatan ini memerlukan penggunaan karakter pengisi unicode, khususnya Hangul Half-Width (U+FFA0) dan Hangul Full-Width (U+3164), untuk mewakili nilai biner 0 dan 1, masing-masing, dan mengubah setiap karakter ASCII dalam muatan Javascript ke setara Hangul mereka.
“Serangan itu sangat personal, termasuk informasi non-publik, dan JavaScript awal akan mencoba untuk memohon breakpoint debugger jika sedang dianalisis, mendeteksi penundaan, dan kemudian membatalkan serangan dengan mengarahkan kembali ke situs web jinak,” kata Juniper Ancaman Labs.
