【安全圈】警惕新网络钓鱼手法：虚假 CAPTCHA 页面诱骗用户安装 Lumma Stealer 恶意软件

一个新的网络钓鱼活动使用虚假的 CAPTCHA 验证页面来诱骗 Windows 用户运行恶意 PowerShell 命令、安装 Lumma Stealer 恶意软件并窃取敏感信息。随时了解和保护。

CloudSec 的网络安全研究人员发现了一种新的网络钓鱼活动，该活动诱骗用户通过虚假的人工验证页面运行恶意命令。该活动主要针对 Windows 用户，旨在安装 Lumma Stealer 恶意软件 ，导致敏感信息被盗。

攻击的工作原理

威胁行为者正在创建托管在各种平台上的网络钓鱼网站，包括 Amazon S3 存储桶和内容分发网络 （CDN）。这些网站模仿合法的验证页面，例如虚假的 Google CAPTCHA 页面。当用户单击 “Verify” 按钮时，他们会看到不寻常的指示：

1. 打开“运行”对话框 （Win+R）

2. 按 Ctrl+V

3. 按 Enter 键

在用户不知道的情况下，这些操作会执行一个隐藏的 JavaScript 函数，该函数将 base64 编码的 PowerShell 命令复制到剪贴板。当用户粘贴并运行命令时，它会从远程服务器下载 Lumma Stealer 恶意软件。

CloudSec 在周四发布之前与 Hackread.com 分享的 报告 显示，下载的恶意软件通常会下载额外的恶意组件，这使得检测和删除变得更加困难。虽然目前用于传播 Lumma Stealer，但这种技术可以轻松适应提供其他类型的恶意软件。

供您参考，Lumma Stealer 旨在从受感染的设备中窃取敏感数据。虽然目标的具体数据可能有所不同，但通常包括登录凭据、财务信息和个人文件。就在这次最新的活动是在恶意软件被发现伪装成 OnlyFans 黑客工具 感染其他黑客的设备几天后进行的。

2024 年 1 月 ，发现 Lumma 通过受感染的 YouTube 频道分发的破解软件进行传播。早些时候， 在 2023 年 11 月 ，研究人员发现了 LummaC2 的新版本，称为 LummaC2 v4.0，它使用三角技术来窃取用户数据来检测人类用户。

现在怎么办？

既然已经报道了新的 Lumma 窃取者感染狂潮，企业和毫无戒心的用户需要保持警惕，避免陷入最新的虚假验证骗局。以下是一些常识性规则和简单而必要的提示，用于防范 Lumma 和其他类似的窃取者：

• 教育自己和他人： 与朋友、家人和同事分享这些信息，以提高对这种新威胁的认识。

• 警惕不寻常的验证请求： 合法网站很少要求用户通过 “Run” 对话框执行命令。对任何提出此类请求的网站保持警惕。

• 不要复制和粘贴未知命令： 避免从不受信任的来源复制和粘贴任何内容，尤其是要在终端或命令提示符下运行的命令。

• 保持软件更新： 确保您的操作系统和防病毒软件是最新的，以修补已知漏洞。

• 重要： 关注 Hackread.com 了解最新的网络安全新闻。

阅读推荐