Las campañas de robo de información se han convertido en una operación global
masiva durante el año pasado y pueden ser devastadoras para los usuarios y las
organizaciones, provocando fraudes financieros, riesgos de privacidad,
violaciones de datos y ataques de ransomware en toda regla.
Como infostealer, Lumma, Tesla, Redline, Meta y Formbook han sido los
dominantes absolutos durante los últimos años.
Lumma Stealer apareció por primera vez en 2022 y, finalmente, apareció en la
lista de los diez principales ladrones de información detectados en el segundo
semestre de 2024. Lumma es cada vez más buscado por los ciberdelincuentes, y
se informa de un aumento del 369% en las detecciones de ESET
en en la segunda mitad de 2024.
Lumma Stealer es un malware avanzado que roba información, cookies,
credenciales, contraseñas, tarjetas de crédito e historial de navegación de
Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores
Chromium. El malware también puede robar billeteras de criptomonedas,
claves privadas y archivos de texto que probablemente contengan información
confidencial, como los llamados
seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt,
words, wallet.txt, *.txt y *.pdf. Estos datos se recopilan en un archivo y se envían al atacante, donde
puede usar la información en futuros ataques o venderla en mercados de delitos
cibernéticos.
En los últimos días,
se ha compartido un archivo de 4 GB en total con miles de credenciales, billeteras, información de usuario, información del sistema, etc. robados
por Lumma.
Formbook, a veces denominado XLoader, ha estado activo desde 2016, pero los
ciberdelincuentes siguen usándolo con frecuencia porque, como malware como
servicio (MaaS), está en constante desarrollo
Redline Stealer fue desmantelado por las autoridades internacionales en
octubre de 2024 como parte de la
Operación Magnus y es poco probable que intente resucitar pero, los afiliados de RedLine
probablemente también querrán seguir adelante y utilizar otros
infostealer.
«En general, podemos esperar que el vacío de poder dejado por el
desmantelamiento de RedLine conduzca a un aumento en la actividad de otros
ladrones de información MaaS».
Lumma y la evolución de la táctica ClickFix y Fake CAPTCHA
Una campaña de publicidad maliciosa a gran escala distribuyó el malware de
robo de información Lumma Stealer a través de páginas de verificación CAPTCHA
falsas que solicitan a los usuarios que
ejecuten comandos de PowerShell
para verificar que no son un bot.
La campaña aprovechó la
red publicitaria Monetag
para propagar más de un millón de impresiones de anuncios por día en tres mil
sitios web. Se cree que la operación maliciosa, bautizada como
«DeceptionAds» por los investigadores de Guardio Labs e Infoblox, está a cargo del actor de amenazas conocido como «Vane Viper».
DeceptionAds puede considerarse una variante más nueva y peligrosa de los
ataques «ClickFix», en los que se engaña a las víctimas para que ejecuten
comandos maliciosos de PowerShell en su máquina, infectándose con malware.
Los actores de ClickFix han empleado correos electrónicos de phishing,
páginas CAPTCHA falsas en sitios de software pirata, páginas maliciosas de
Facebook e incluso problemas de GitHub que redirigen a los usuarios a
páginas de destino peligrosas.
Lo que descubrió GuardioLabs es diferente de las operaciones anteriores, ya
que utiliza publicidad a gran escala en una red publicitaria legítima para
llevar a los usuarios desprevenidos que navegan casualmente por la web
directamente a páginas CAPTCHA falsas.
Una vez que la víctima hace clic en el anuncio, un código ofuscado comprueba
si se trata de una persona real y, si se valida, redirige al visitante a una
página CAPTCHA falsa a través del servicio de encubrimiento BeMob. Aunque
BeMob se utiliza con fines legítimos, como el seguimiento del rendimiento de
los anuncios, en «Deception Ads», se utiliza únicamente para evadir.
Los hallazgos clave de la investigación incluyen:
-
Alcance extenso: más de 1 millón de impresiones de anuncios por día, con
tráfico canalizado a través de más de 3000 sitios web. -
Mecanismo de distribución de malware: cadenas de redireccionamiento y
scripts ofuscados distribuyen páginas captcha falsas a través de redes
publicitarias. -
Encubrimiento sofisticado: los atacantes usaron servicios como BeMob para el
seguimiento de anuncios con el fin de ocultar las intenciones maliciosas de
los moderadores.
La página CAPTCHA incluye un fragmento de código JavaScript que copia
silenciosamente un comando malicioso de una línea de PowerShell en el
portapapeles del usuario sin que este se dé cuenta.
.jpg)
A continuación, la página proporciona instrucciones a la víctima sobre cómo
pegar la «solución CAPTCHA» en el cuadro de diálogo Ejecutar de Windows y
ejecutarla. Este paso ejecuta el comando de PowerShell, que descarga Lumma
Stealer desde un servidor remoto y lo ejecuta en el dispositivo de la víctima.
Fuente:
BC