Gli esperti di sicurezza informatica hanno rilevato una campagna di phishing su larga scala che utilizza immagini di CAPTCHA falsi distribuite tramite documenti PDF ospitati sul Content Delivery Network (CDN) di Webflow per diffondere il malware Lumma Stealer. Il Netskope Threat Labs ha segnalato la scoperta di 260 domini unici che ospitano 5.000 file PDF di phishing, i quali reindirizzano le vittime a siti web malevoli.

Gli attaccanti sfruttano l'ottimizzazione per i motori di ricerca (SEO) per indurre le vittime a visitare le pagine cliccando su risultati di ricerca dannosi. Mentre la maggior parte delle pagine di phishing si concentra sul furto di informazioni di carte di credito, alcuni file PDF contengono CAPTCHA falsi che ingannano le vittime inducendole a eseguire comandi PowerShell malevoli, portando infine al malware Lumma Stealer.

La campagna di phishing ha colpito più di 1.150 organizzazioni e oltre 7.000 utenti dalla seconda metà del 2024, con attacchi diretti principalmente a vittime in Nord America, Asia e Europa meridionale, nei settori delle tecnologie, dei servizi finanziari e della manifattura.

Tra i 260 domini identificati per ospitare i PDF falsi, la maggior parte di essi è correlata a Webflow, seguita da quelli legati a GoDaddy, Strikingly, Wix e Fastly. Gli attaccanti sono stati osservati nel caricare alcuni dei file PDF in librerie online legittime e repository di PDF come PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, in modo che gli utenti che cercano documenti PDF sui motori di ricerca siano indirizzati verso di essi.

I PDF contengono immagini di CAPTCHA fraudolente che fungono da condotto per rubare informazioni sulle carte di credito. In alternativa, coloro che distribuiscono Lumma Stealer includono immagini per il download del documento che, se cliccate, portano la vittima a un sito malevolo. Il sito si maschera come una pagina di verifica CAPTCHA falsa che utilizza la tecnica ClickFix per ingannare la vittima a eseguire un comando MSHTA che esegue il malware stealer tramite uno script PowerShell.

Di recente, Lumma Stealer è stato anche camuffato da giochi di Roblox e una versione craccata dello strumento Total Commander per Windows, mettendo in luce i numerosi meccanismi di consegna adottati da vari attori delle minacce. Gli utenti vengono reindirizzati a questi siti tramite video su YouTube, probabilmente caricati da account precedentemente compromessi.

La società di cybersecurity ha ulteriormente scoperto che i log di Lumma Stealer vengono condivisi gratuitamente su un nuovo forum di hacking chiamato Leaky[.]pro, operativo dalla fine di dicembre 2024. Lumma Stealer è una soluzione di crimeware completamente funzionale offerta in vendita sotto il modello malware-as-a-service (MaaS), consentendo di raccogliere una vasta gamma di informazioni da host Windows compromessi.

La divulgazione arriva mentre malware stealer come Vidar e Atomic macOS Stealer (AMOS) vengono distribuiti utilizzando il metodo ClickFix tramite esche per il chatbot di intelligenza artificiale (AI) DeepSeek. Gli attacchi di phishing sono stati anche individuati sfruttando un metodo di offuscamento JavaScript che utilizza caratteri Unicode invisibili per rappresentare valori binari, tecnica documentata per la prima volta nell'ottobre 2024.