Campaña de phishing con CAPTCHA falsos distribuye malware Lumma Stealer

Investigadores de ciberseguridad han detectado una campaña de phishing masiva que utiliza imágenes CAPTCHA falsas en documentos PDF alojados en la red de entrega de contenido (CDN) de Webflow para distribuir el malware ladrón Lumma Stealer.

Detalles de la campaña de phishing

Netskope Threat Labs identificó 260 dominios únicos que alojan 5,000 archivos PDF maliciosos. Estos archivos redirigen a las víctimas a sitios fraudulentos diseñados para robar credenciales y datos financieros.

Los ciberdelincuentes emplean estrategias de SEO malicioso para posicionar estas páginas en los motores de búsqueda, engañando a los usuarios para que accedan a los documentos infectados. "Si bien muchas páginas de phishing buscan robar información de tarjetas de crédito, algunos archivos PDF contienen CAPTCHA falsos que inducen a las víctimas a ejecutar comandos de PowerShell, lo que finalmente descarga Lumma Stealer", explicó Jan Michael Alcantara, investigador de seguridad de Netskope.

Se estima que esta operación ha afectado a más de 1,150 organizaciones y a 7,000 usuarios desde mediados de 2024, con un impacto significativo en América del Norte, Asia y el sur de Europa. Los sectores más afectados incluyen tecnología, servicios financieros y manufactura.

Distribución y métodos de ataque

La mayoría de los 260 dominios comprometidos están vinculados a Webflow, seguidos de GoDaddy, Strikingly, Wix y Fastly. Además, los atacantes han subido los archivos PDF a bibliotecas y repositorios legítimos como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, aumentando su visibilidad en los motores de búsqueda.

Los documentos PDF incluyen imágenes CAPTCHA fraudulentas diseñadas para obtener información financiera o descargar malware. Al hacer clic en estas imágenes, la víctima es redirigida a una página de verificación CAPTCHA falsa que utiliza la técnica ClickFix para ejecutar un comando MSHTA, activando un script de PowerShell que instala Lumma Stealer.

En las últimas semanas, Lumma Stealer se ha disfrazado de juegos de Roblox y versiones crackeadas de Total Commander para Windows. Estos archivos maliciosos se promocionan en videos de YouTube, posiblemente desde cuentas comprometidas. "Los enlaces y archivos infectados suelen aparecer en videos, comentarios o descripciones de YouTube", advirtió Silent Push. "Evitar fuentes no verificadas al descargar contenido es clave para prevenir estas amenazas".

Lumma Stealer y su modelo de distribución

Lumma Stealer es un malware vendido bajo el modelo de Malware como Servicio (MaaS), permitiendo a los ciberdelincuentes recopilar información de equipos infectados. A principios de 2024, sus operadores anunciaron una integración con GhostSocks, un malware proxy basado en Golang.

"Agregar la función de backconnect SOCKS5 a Lumma Stealer es altamente lucrativo", señaló Infrawatch. "Permite a los atacantes eludir restricciones geográficas y controles de IP, facilitando accesos no autorizados a cuentas bancarias y otros servicios críticos".

Otras amenazas emergentes

Las revelaciones coinciden con la distribución de otros malware, como Vidar y Atomic macOS Stealer (AMOS), utilizando la técnica ClickFix con señuelos relacionados con el chatbot de IA DeepSeek, según Zscaler ThreatLabz y eSentire.

Asimismo, se han identificado ataques de phishing que emplean una técnica de ofuscación de JavaScript basada en caracteres Unicode invisibles. Este método, documentado en octubre de 2024, usa caracteres de relleno Unicode Hangul (U+FFA0 y U+3164) para representar valores binarios y convertir texto ASCII en código JavaScript malicioso.

"Estos ataques son altamente personalizados, incorporan información no pública y cuentan con mecanismos para evadir análisis", reveló Juniper Threat Labs. "Si se detecta un entorno de depuración, el código aborta el ataque y redirige a un sitio legítimo".

En fin, la campaña de phishing con CAPTCHA falsos demuestra la creciente sofisticación de los ataques cibernéticos, combinando técnicas avanzadas de engaño con estrategias de SEO malicioso. Para protegerse, los usuarios deben evitar descargar archivos de fuentes no verificadas, prestar atención a señales de phishing y emplear soluciones de seguridad actualizadas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta