Em resumo
- Os hackers estão usando Captchas falsos para distribuir malware de ladrões da Lumma, descobriu uma nova pesquisa.
- Uma vez instalado por um usuário inocente, o malware pesquisa dispositivos infectados por credenciais, incluindo dados da carteira de criptografia.
- A ladrão de Lumma é um exemplo de malware como serviço, que é efetivamente executado como um “negócio cibernético sustentável”, disseram especialistas a Decrypt.
Os maus atores estão usando solicitações falsas de captcha para distribuir malware de ladrão de lumma sem arquivo, de acordo com a pesquisa da empresa de segurança cibernética DNSFilter.
Detectado pela primeira vez em um site bancário grego, o prompt solicita que os usuários do Windows copam e coloque -o na caixa de diálogo Executar e depois pressionar Enter.
A DNSFilter relata que os clientes da empresa interagiram com o falso Captcha 23 vezes ao longo de três dias e que 17% das pessoas que encontraram o aviso concluíram suas etapas na tela, resultando na tentativa de entrega de malware.
Twist Twist: esse clique de “eu não sou um robô” pode ser a coisa mais perigosa que você faz hoje.
A equipe de segurança da DNSFilter acabou de pegar os maus atores usando Captchas falsos para soltar malware sem arquivo como a ladrão de Lumma. Um clique e eles estão dentro. 🖱️
A parte selvagem?
🖱️ 17% dos usuários que viram…– dnsfilter (@dnsfilter) 14 de agosto de 2025
O que é ladrão de Lumma?
O evangelista do parceiro global da DNSFilter, Mikey Pruitt, explicou que a ladrão de Lumma é uma forma de malware que pesquisa um dispositivo infectado por credenciais e outros dados sensíveis.
“O ladrão de Lumma varre imediatamente o sistema para qualquer coisa que possa monetizar-senhas e cookies armazenados por discurso, salvo 2FA Tokens, dados da carteira de criptomoeda, credenciais de acesso remoto e até manager de senha Vaults”, ele disse ele Descriptografar.
Pruitt esclareceu que os maus atores usam dados levantados para uma variedade de propósitos que geralmente se resumem ao ganho monetário, como roubo de identificação e acesso a “contas on -line por roubo financeiro ou transações fraudulentas”, além de obter acesso à criptomoeda carteiras.
A ladrão de Lumma tem um amplo alcance, de acordo com Pruitt, e pode ser encontrado em uma ampla variedade de sites.
“Embora não possamos falar sobre o quanto poderia ter sido perdido por essa avenida, essa ameaça pode existir em sites não maliciosos”, explicou ele. “Isso torna incrivelmente perigoso e importante estar ciente de quando as coisas parecem suspeitas.”
Malware como serviço
A ladrão de Lumma não é apenas malware, mas um exemplo de malware como serviço (MAAS), que as empresas de segurança relataram ser responsáveis por um aumento de ataques de malware nos últimos anos.
De acordo com o analista de malware da ESET, Jakub Tomanek, os operadores por trás do ladrão de Lumma desenvolvem seus recursos, refinam sua capacidade de evitar a detecção de malware, além de registrar domínios para hospedar o malware.
Ele disse Descriptografar“O objetivo principal deles é manter o serviço operacional e lucrativo, coletando taxas mensais de assinatura de afiliados – conduzindo efetivamente ladrões de lumma como um negócio sustentável cibernético”.
Como poupa os cibercriminosos da necessidade de desenvolver malware e qualquer infraestrutura subjacente, maas como a ladrão de Lumma se mostraram teimosamente populares.
Em maio, o Departamento de Justiça dos EUA apreendeu cinco domínios da Internet que os maus atores estavam usando para operar malware de ladrões da Lumma, enquanto a Microsoft em particular derrubou 2.300 domínios semelhantes.
No entanto, os relatórios revelaram que o ladrão de Lumma ressurgiu desde maio, com uma análise de julho da Trend Micro mostrando que “o número de contas direcionadas retornou constantemente aos seus níveis habituais” entre junho e julho.
Alcance global de malware
Parte do apelo do ladrão de Lumma é que as assinaturas, que geralmente são mensais, são baratas em relação aos ganhos em potencial a serem obtidos.
“Disponíveis nos fóruns da Web Dark por apenas US $ 250, esse ladrão sofisticado de informações tem como alvo especificamente o que mais importa para os cibercriminosos-carteiras de criptomoeda, credenciais armazenados no navegador e sistemas de autenticação de dois fatores”, disse Nathaniel Jones, VP da Security & Ai Strategy na Darktrace.
Jones contou Descriptografar O fato de a escala das explorações de ladrões da Lumma ter sido “alarmante”, com 2023 testemunhando perdas estimadas de US $ 36,5 milhões, além de 400.000 dispositivos do Windows infectados no espaço de dois meses.
“Mas a verdadeira preocupação não é apenas os números-é a estratégia de monetização de várias camadas”, disse ele. “A Lumma não apenas rouba dados, colhe sistematicamente histórias de navegador, informações do sistema e até mesmo arquivos de configuração de AnyDesk antes de exfiltrar tudo aos centros de comando controlados pela Rússia.”
Aumentar a ameaça do ladrão de Lumma é o fato de que os dados roubados são frequentemente alimentados diretamente em “equipes de traficantes”, que especializam o roubo e a revenda das credenciais.
“Isso cria um efeito devastador em cascata, onde uma única infecção pode levar ao seqüestro de contas bancárias, roubo de criptomoeda e fraude de identidade que persiste muito após a violação inicial”, acrescenta Jones.
Enquanto Darktrace sugeriu uma origem russa ou centro para explorações relacionadas a Lumma, o DNSFilter observou que os maus atores que usam o serviço de malware poderiam estar operando a partir de vários territórios.
“É comum que essas atividades maliciosas envolvam indivíduos ou grupos de vários países”, disse Pruitt, acrescentando que isso é especialmente prevalente “com o uso de fornecedores internacionais de hospedagem e plataformas de distribuição de malware”.
Debrie diário Boletim informativo
Comece todos os dias com as principais notícias agora, além de recursos originais, um podcast, vídeos e muito mais.
Fontedecrypt
