網絡安全研究人員近日發現，一場大規模的釣魚活動正在通過Webflow內容分發網絡（CDN）上的PDF文檔傳播Lumma竊取程序。這些PDF文檔中包含虛假的驗證碼（CAPTCHA）圖像，用于誘騙受害者下載惡意軟件。

釣魚活動規模驚人

Netskope Threat Labs表示，他們發現了260個獨特的域名，這些域名托管了5000個釣魚PDF文件，這些文件會將受害者重定向到惡意網站。安全研究員Jan Michael Alcantara在一份報告中指出：“攻擊者利用搜索引擎優化（SEO）技術，誘騙受害者點擊惡意搜索結果。”他還補充道：“雖然大多數釣魚頁面都專注于竊取信用卡信息，但一些PDF文件中包含虛假的驗證碼，誘騙受害者執行惡意的PowerShell命令，最終導致Lumma竊取程序的感染。”

據估計，自2024年下半年以來，這場釣魚活動已影響到超過1150家組織和7000多名用戶，受害者主要分布在北美、亞洲和南歐的技術、金融服務和制造行業。

PDF文件的傳播渠道

在這260個托管虛假PDF文件的域名中，大部分與Webflow相關，其次是GoDaddy、Strikingly、Wix和Fastly。此外，攻擊者還將部分PDF文件上傳到合法的在線文庫和PDF存儲庫，如PDFCOFFEE、PDF4PRO、PDFBean和Internet Archive，這使得用戶在搜索引擎上搜索PDF文檔時會被引導到這些惡意文件。

這些PDF文件中包含的虛假驗證碼圖像，既可以作為竊取信用卡信息的工具，也可以作為下載惡意文檔的誘餌。點擊這些圖像后，受害者會被重定向到一個偽裝成驗證碼驗證頁面的惡意網站，該網站利用ClickFix技術誘騙受害者運行一個MSHTA命令，通過PowerShell腳本執行竊取程序。

Lumma竊取程序的多重偽裝

近期，Lumma竊取程序還被偽裝成Roblox游戲和Windows工具Total Commander的破解版，展示了各類威脅行為者采用的多樣化傳播機制。用戶通過YouTube視頻被重定向到這些惡意網站，這些視頻很可能是從先前被入侵的賬戶上傳的。網絡安全公司Silent Push提醒：“惡意鏈接和受感染的文件通常隱藏在YouTube視頻、評論或描述中。與YouTube內容互動時，尤其是當被提示下載或點擊鏈接時，保持警惕和謹慎可以幫助防范這些日益增長的威脅。”

此外，網絡安全公司還發現，Lumma竊取程序的日志正在一個名為Leaky[.]pro的相對較新的黑客論壇上免費分享。該論壇于2024年12月下旬開始運營。

Lumma竊取程序的功能與擴展

Lumma竊取程序是一款功能齊全的犯罪軟件，以惡意軟件即服務（MaaS）模式銷售，能夠從受感染的Windows主機中獲取各種信息。2024年初，該惡意軟件運營商宣布與一款基于Golang的代理惡意軟件GhostSocks集成。Infrawatch指出：“為現有的Lumma感染或其他惡意軟件添加SOCKS5反向連接功能，對威脅行為者來說非常有利。通過利用受害者的互聯網連接，攻擊者可以繞過地理限制和基于IP的完整性檢查，尤其是金融機構和其他高價值目標實施的檢查。這一功能顯著提高了使用竊取程序日志中獲取的憑據進行未經授權訪問嘗試的成功率，進一步增強了Lumma感染的后續利用價值。”

其他惡意軟件的類似傳播方式

近期，Vidar和Atomic macOS Stealer（AMOS）等竊取程序也通過ClickFix方法傳播，引誘用戶訪問DeepSeek人工智能（AI）聊天機器人的釣魚網站。此外，釣魚攻擊還利用了一種JavaScript混淆技術，該技術使用不可見的Unicode字符表示二進制值。Juniper Threat Labs表示：“這些攻擊高度個性化，包含非公開信息，初始的JavaScript會嘗試調用調試器斷點，如果檢測到延遲，則會通過重定向到良性網站來中止攻擊。”