محققان امنیت سایبری یک کمپین فیشینگ گسترده را شناسایی کردهاند که از تصاویر جعلی CAPTCHA استفاده می کند و از طریق اسناد PDF میزبانی شده بر روی Webflow بهمنظور انتشار بدافزار Lumma Stealer عمل میکند.
لابراتوار تهدیدات Netskope اعلام کرد که ۲۶۰ دامنه منحصر به فرد را شناسایی کرده است که 5,000 فایل PDF فیشینگ را میزبانی و قربانیان را به سایتهای مخرب هدایت میکنند.
“عامل مخرب از SEO برای فریب قربانیان جهت بازدید از صفحات با کلیک بر روی نتایج جستجوی مخرب استفاده میکند”، محقق امنیتی جان میشل آلکانتارا در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: “در حالی که بیشتر صفحات فیشینگ بر سرقت اطلاعات کارت اعتباری متمرکز هستند، برخی از فایلهای PDF حاوی CAPTCHAهای جعلی هستند که قربانیان را فریب میدهند تا دستورات مخرب PowerShell را اجرا کنند که در نهایت به بدافزار Lumma Stealer منتهی میشود.”
تخمین زده میشود که این کمپین فیشینگ از نیمه دوم سال 2024 بیش از ۱۱۵۰ سازمان و بیش از ۷۰۰۰ کاربر را تحت تأثیر قرار داده است، بهویژه قربانیان در آمریکای شمالی، آسیا و جنوب اروپا را هدف قرار دادهاند.
از ۲۶۰ دامنهای که بهعنوان میزبان فایلهای PDF جعلی شناسایی شدهاند، اکثریت آنها با Webflow مرتبط هستند، و پس از آن دامنههایی که با GoDaddy، Strikingly، Wix و Fastly مرتبطاند، قرار دارند.
همچنین مشاهده شده که برخی از این فایلهای PDF را در کتابخانههای آنلاین و مخازن PDF معتبر مانند PDFCOFFEE، PDF4PRO، PDFBean و Internet Archive آپلود کردهاند، بهطوری که کاربرانی که به دنبال فایلهای PDF در موتورهای جستجو هستند، به این فایلها هدایت میشوند.
این فایلهای PDF شامل تصاویر CAPTCHA جعلی هستند که بهعنوان راهی برای سرقت اطلاعات کارت اعتباری عمل میکنند. آنهایی که Lumma Stealer را توزیع میکنند، تصاویری دارند که برای دانلود فایل طراحی شدهاند و با کلیک بر روی آنها، قربانی به یک وبسایت مخرب هدایت میشود.
این سایت خود را بهعنوان صفحه تأیید CAPTCHA جعلی معرفی میکند که از تکنیک ClickFix استفاده میکند تا قربانی را برای اجرای دستور MSHTA فریب دهد. این دستور بدافزار Stealer را از طریق یک اسکریپت PowerShell اجرا میکند.
در هفتههای اخیر، Lumma Stealer نیز به عنوان بازیهای Roblox و نسخهی کرک شده از ابزار Total Commander برای ویندوز مبدل شده است، که مکانیسمهای تحویل بیشماری را که توسط بازیگران مختلف تهدید به کار گرفته شده است، برجسته میکند. کاربران از طریق ویدیوهای YouTube که احتمالاً از حسابهای در معرض خطر قبلی آپلود شدهاند، به این وبسایتها هدایت میشوند.
“لینکهای مخرب و فایلهای آلوده معمولاً در ویدیوها، نظرات یا توضیحات یوتیوب پنهان میشوند”، Silent Push گفت. “مراقبت و شکاک بودن نسبت به منابع تایید نشده هنگام تعامل با محتوای یوتیوب، بهویژه زمانی که از شما خواسته میشود که لینکها را دانلود یا کلیک کنید، میتواند به محافظت در برابر این تهدیدات رو به رشد کمک کند.”
این شرکت امنیت سایبری همچنین دریافت که لاگهای Lumma Stealer بهصورت رایگان در یک انجمن هک نسبتاً جدید به نام Leaky[.]pro که در اواخر دسامبر 2024 راهاندازی شد، به اشتراک گذاشته میشوند.
Lumma Stealer یک راهحل کامل جرمافزار است که تحت مدل بدافزار بعنوان سرویس (MaaS) به فروش میرسد و به مجرمان سایبری این امکان را میدهد که انواع مختلفی از اطلاعات را از میزبانهای ویندوزی که بهطور مخرب وارد شدهاند، جمعآوری کنند. در اوایل 2024، اپراتورهای این بدافزار از ادغام آن با یک بدافزار پراکسی مبتنی بر Golang به نام GhostSocks خبر دادند.
Infrawatch گفت: “اضافه شدن ویژگی SOCKS5 backconnect به Lumma یا هر بدافزار دیگری، برای بازیگران تهدید بسیار سودآور است”.”با استفاده از اتصالات اینترنتی قربانیان، حملهکنندگان میتوانند محدودیتهای جغرافیایی و بررسیهای یکپارچگی مبتنی بر IP را دور بزنند، بهویژه آنهایی که توسط موسسات مالی و سایر اهداف با ارزش بالا اعمال میشوند. این قابلیت بهطور قابل توجهی احتمال موفقیت دسترسی غیرمجاز با استفاده از اعتبارنامههای بهدستآمده از لاگهای اطلاعاتی را افزایش میدهد و ارزش پس از بهرهبرداری از Lumma را بیشتر میکند.”
بر اساس گفتههای Zscaler ThreatLabz و eSentire، این افشاگریها در حالی منتشر میشوند که بدافزارهای دزد مانند Vidar و Atomic macOS Stealer (AMOS) با استفاده از روش ClickFix از طریق فریبهای چت ربات هوش مصنوعی DeepSeek (AI) توزیع میشوند.
حملات فیشینگ همچنین در حال سوءاستفاده از یک روش obfuscation جاوا اسکریپت هستند که از کاراکترهای یونیکد نامرئی برای نمایش مقادیر باینری استفاده میکند، تکنیکی که اولین بار در اکتبر 2024 مستند شد.
این روش شامل استفاده از کاراکترهای پرکننده یونیکد، بهویژه Hangul نیمعرض (U+FFA0) و Hangul تمامعرض (U+3164) برای نمایش مقادیر باینری 0 و 1 به ترتیب است، و تبدیل هر کاراکتر ASCII در بارگذاری جاوا اسکریپت به معادلهای Hangul آنها.
Juniper Threat Labs گفت: “حملات بسیار شخصی سازی شده بودند، از جمله اطلاعات غیر عمومی، و جاوا اسکریپت اولیه سعی می کرد در صورت تجزیه و تحلیل، یک نقطه شکست debugger را فراخوانی کند، یک تاخیر را تشخیص دهد و سپس با هدایت مجدد به یک وب سایت خوش خیم، حمله را متوقف کند.”
منبع: https://thehackernews.com/2025/02/5000-phishing-pdfs-on-260-domains.html
