Nueva campaña de malware usa CAPTCHA falsos para distribuir Lumma Stealer

Los investigadores de ciberseguridad han detectado una nueva campaña de **distribución de malware** que utiliza verificaciones CAPTCHA falsas** para engañar a los usuarios y entregar el infame Lumma Stealer, un troyano especializado en el robo de información. 

Según Netskope Threat Labs, esta amenaza ha afectado a víctimas en **Argentina, Colombia, Estados Unidos, Filipinas y otros países. "La campaña no solo es global, sino que también se dirige a múltiples industrias, incluidas la atención médica, la banca, el marketing y las telecomunicaciones**, siendo esta última la más afectada", afirmó Leandro Fróes, ingeniero senior de investigación de amenazas en Netskope, en un informe compartido con *The Hacker News*. 

Método de ataque: CAPTCHA falso y ejecución de comandos maliciosos

El ataque comienza cuando la víctima visita un sitio web comprometido, que la redirige a una página con un CAPTCHA falso. Esta página instruye al usuario para que copie y pegue un comando en la terminal de ejecución de Windows. 

Dicho comando ejecuta mshta.exe, un binario legítimo de Windows, para descargar y ejecutar un **archivo HTA malicioso** desde un servidor remoto. 

Evolución de la técnica: ClickFix y PowerShell

Esta táctica recuerda a una técnica anterior llamada ClickFix, que utilizaba un script de PowerShell codificado en Base64 para desplegar **Lumma Stealer**. 

En esta nueva versión, el archivo **HTA** ejecuta un **comando de PowerShell** que inicia una cadena de ejecución compuesta por múltiples scripts de PowerShell: 

1. Carga útil inicial: Un script que desempaqueta un segundo script. 
2. Evasión de seguridad: Antes de ejecutar Lumma, el malware omite la **interfaz de análisis antimalware de Windows (AMSI)** para evitar la detección. 

"Al utilizar este método, los atacantes evitan las defensas basadas en el navegador, ya que es la víctima quien ejecuta manualmente cada paso del ataque", explicó Fróes. 

Lumma Stealer y el modelo Malware-as-a-Service (MaaS)

Lumma Stealer es un malware que sigue el modelo **Malware-as-a-Service (MaaS), lo que significa que se vende en la dark web para que otros ciberdelincuentes lo utilicen. Su alta actividad en los últimos meses ha dificultado la detección y el bloqueo, ya que emplea diversos métodos de distribución. 

En enero de 2024, Lumma se ha propagado a través de 1.000 dominios falsos que imitan plataformas legítimas como Reddit y WeTransfer, redirigiendo a los usuarios a descargas de archivos protegidos con contraseña. 

Estos archivos contienen un dropper de AutoIT, conocido como **SelfAU3 Dropper**, que finalmente ejecuta **Lumma Stealer**. Según el investigador **Crep1x de Sekoia**, esta estrategia es similar a la usada en 2023, cuando se registraron más de **1.300 dominios falsos** de **AnyDesk** para distribuir **Vidar Stealer**. 

Phishing avanzado: Tycoon 2FA y ataques con Gravatar 

Paralelamente, Barracuda Networks** ha identificado una versión mejorada del kit de herramientas de phishing como servicio (PhaaS) Tycoon 2FA, con nuevas técnicas para **evadir las herramientas de seguridad** y frustrar su análisis. 

Estas técnicas incluyen: 

- Uso de cuentas de correo legítimas comprometidas para enviar campañas de phishing. 
- Detección de scripts de seguridad automatizados. 
- Bloqueo del menú contextual del botón derecho del ratón. 
- **Escucha de pulsaciones de teclas** que indican inspección web. 

Además, los investigadores han detectado ataques de **robo de credenciales** que aprovechan Gravatar, un servicio de avatares en línea, para suplantar empresas legítimas como **AT&T, Comcast, Eastlink, Infinity, Kojeko y Proton Mail**. 

"Los atacantes están utilizando los 'Perfiles como servicio' de **Gravatar** para crear perfiles falsos convincentes que engañan a los usuarios y los llevan a entregar sus credenciales", explicó **Stephen Kowski, CTO de SlashNext**. 

A diferencia del phishing tradicional, estos ataques están diseñados para imitar visualmente a empresas legítimas y aumentar su efectividad. 

Protegerse de Lumma Stealer y Tycoon 2FA

Para mitigar estas amenazas, se recomienda: 

- Evitar copiar y pegar comandos desconocidos** en la terminal de Windows. 
- Verificar la autenticidad de los CAPTCHA** antes de completar cualquier acción. 
- No descargar archivos desde enlaces sospechosos** en correos electrónicos o redes sociales. 
- Utilizar soluciones avanzadas de ciberseguridad** con protección contra malware y phishing. 

La evolución de Lumma Stealer, junto con el crecimiento de técnicas de **phishing avanzadas** como Tycoon 2FA, refuerza la necesidad de que empresas y usuarios refuercen sus estrategias de ciberseguridad. 

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta