Nel mondo della sicurezza informatica, una nuova campagna di malware sta facendo discutere. Utilizzando falsi controlli CAPTCHA, un attacco si sta diffondendo a livello globale, mirato a diffondere il noto malware Lumma Stealer. Questa campagna è stata tracciata da Netskope Threat Labs, che ha osservato vittime in vari paesi, tra cui Argentina, Colombia, Stati Uniti e Filippine. Gli attacchi si estendono a più settori, tra cui telecomunicazioni, sanità e marketing, con il settore delle telecomunicazioni che registra il maggior numero di organizzazioni colpite.

Il Processo di Attacco

Il processo di attacco inizia quando una vittima visita un sito web compromesso. Il sito reindirizza l'utente a una pagina CAPTCHA falsa, che richiede di copiare e incollare un comando nel prompt Esegui di Windows. Questo comando utilizza il binario mshta.exe per scaricare ed eseguire un file HTA da un server remoto. Questa tecnica è simile a una precedente iterazione conosciuta come ClickFix, che utilizzava uno script PowerShell codificato in Base64 per innescare l'infezione del Lumma Stealer.

Il file HTA esegue un comando PowerShell per lanciare un payload successivo, un altro script PowerShell che scompatta un secondo script responsabile del caricamento del payload Lumma. Prima di questo, vengono adottate misure per eludere l'Antimalware Scan Interface di Windows (AMSI), con l'obiettivo di evitare il rilevamento.

Impatto e Tecniche Avanzate

Un aspetto cruciale di questo attacco è che, scaricando ed eseguendo il malware in questo modo, l'attaccante evita le difese basate sul browser, poiché tutte le operazioni necessarie vengono eseguite al di fuori del contesto del browser stesso. Lumma Stealer opera utilizzando il modello malware-as-a-service (MaaS) ed è stato estremamente attivo negli ultimi mesi. Utilizza diversi metodi di distribuzione e payload, rendendo più complesso il rilevamento e il blocco di tali minacce, specialmente quando si abusa delle interazioni dell'utente all'interno del sistema.

Recentemente, Lumma è stato distribuito attraverso circa 1,000 domini contraffatti che impersonano Reddit e WeTransfer, indirizzando gli utenti a scaricare archivi protetti da password. Questi archivi contengono un dropper AutoIT chiamato SelfAU3 Dropper, che successivamente esegue il malware stealer.

Questi attacchi sottolineano la crescente sofisticazione degli attacchi di phishing e la necessità di una consapevolezza continua e di strategie di difesa avanzate nel campo della sicurezza informatica per proteggere le organizzazioni e gli individui da queste minacce sempre più sofisticate.