كشف باحثو الأمن السيبراني عن حملة تصيد احتيالي واسعة النطاق تستخدم صور CAPTCHA مزيفة مدمجة في مستندات PDF مستضافة على شبكة Webflow لتوصيل برمجية Lumma Stealer الضارة.
ووفقًا لتقرير صادر عن Netskope Threat Labs، فقد تم العثور على 260 نطاقًا فريدًا يستضيف أكثر من 5,000 ملف PDF معد لاختراق الضحايا عبر إعادة توجيههم إلى مواقع ضارة.
“يستغل المهاجمون تحسين محركات البحث (SEO) لخداع الضحايا للنقر على نتائج بحث خبيثة تؤدي إلى هذه الصفحات”، وفقًا للباحث الأمني يان مايكل ألكانتارا في تقرير نُشر عبر The Hacker News.
بينما تركز معظم صفحات التصيد على سرقة معلومات بطاقات الائتمان، فإن بعض ملفات PDF تحتوي على رموز CAPTCHA مزيفة، مما يؤدي إلى تنفيذ أوامر PowerShell خبيثة تؤدي في النهاية إلى تحميل برمجية Lumma Stealer الضارة.
الأضرار والضحايا المستهدفون
تشير التقديرات إلى أن هذه الحملة أثرت على أكثر من 1,150 منظمة و7,000 مستخدم منذ النصف الثاني من عام 2024، مع استهداف الضحايا في أمريكا الشمالية وآسيا وجنوب أوروبا، وخاصة في قطاعات التكنولوجيا والخدمات المالية والتصنيع.
الجهات المستضيفة للملفات الضارة
من بين 260 نطاقًا حُددت كمستضيفين لملفات PDF المزيفة، كان معظمها مرتبطًا بـ Webflow، تليها مواقع GoDaddy، Strikingly، Wix، وFastly.
كما لاحظ الباحثون الأمنيون أن المهاجمين قاموا أيضًا برفع بعض هذه الملفات على مكتبات إلكترونية شرعية ومستودعات PDF مثل:
- PDFCOFFEE
- PDF4PRO
- PDFBean
- Internet Archive
حيث يتم توجيه المستخدمين الباحثين عن مستندات PDF عبر محركات البحث إلى هذه الملفات، مما يزيد من فرص تعرضهم للاختراق.
آلية تنفيذ الهجوم
1. استغلال CAPTCHA مزيفة لسرقة المعلومات
تحتوي ملفات PDF الضارة على صور CAPTCHA احتيالية تعمل كوسيلة لسرقة معلومات بطاقات الائتمان عند محاولة المستخدمين حلّها.
2. استخدام ClickFix لنشر برمجية Lumma Stealer
في بعض الحالات، تحتوي الملفات على زر تحميل وهمي يؤدي عند النقر عليه إلى إعادة توجيه الضحية إلى موقع ضار ينتحل صفة صفحة تحقق CAPTCHA.
يستخدم هذا الموقع تقنية ClickFix لخداع المستخدم لتنفيذ أمر MSHTA، والذي يقوم بتشغيل برمجية Lumma Stealer عبر PowerShell.
طرق توزيع أخرى لبرمجية Lumma Stealer
في الأسابيع الأخيرة، تم تمويه Lumma Stealer داخل ألعاب Roblox وإصدارات مقرصنة من أداة Total Commander لنظام Windows، مما يبرز تنوع أساليب توزيع البرمجية من قبل جهات التهديد.
ويتم توجيه المستخدمين إلى هذه المواقع عبر مقاطع فيديو على YouTube، والتي يُرجح أنها رُفعت من حسابات مخترقة.
“غالبًا ما يتم إخفاء الروابط الضارة والملفات المصابة داخل مقاطع فيديو YouTube أو التعليقات أو أوصاف الفيديوهات”، وفقًا لشركة Silent Push.
لذلك، يوصي الخبراء بممارسة الحذر والتشكيك في المصادر غير الموثوقة عند التعامل مع محتوى YouTube، خاصة عند مطالبة المستخدمين بتنزيل ملفات أو النقر على روابط مشبوهة.
توزيع برمجية Lumma Stealer مجانًا على منتديات الهاكرز
وجدت شركة الأمن السيبراني أن سجلات Lumma Stealer تُشارك مجانًا على منتدى اختراق جديد يسمى Leaky[.]pro، والذي بدأ نشاطه في أواخر ديسمبر 2024.
تُعد Lumma Stealer أداة قرصنة متكاملة تُباع كنموذج “البرمجيات كخدمة” (MaaS)، مما يتيح للقراصنة جمع كميات كبيرة من البيانات من أجهزة Windows المصابة.
وفي بداية 2024، أعلن مشغلو البرمجية عن تكاملها مع برمجية GhostSocks المستندة إلى لغة Golang، مما يضيف لها ميزة التوجيه عبر بروكسي SOCKS5.
“إضافة ميزة الاتصال العكسي SOCKS5 إلى إصابات Lumma أو أي برمجية ضارة أخرى يُعد أمرًا مربحًا للغاية للمهاجمين”، وفقًا لـ Infrawatch.
هذا التكامل يمكّن المهاجمين من تجاوز قيود الموقع الجغرافي وفحوصات الأمان المعتمدة على عناوين IP، خاصة تلك التي تنفذها المؤسسات المالية والأهداف ذات القيمة العالية.
طرق تصيد جديدة باستخدام Unicode في JavaScript
كشفت شركة Zscaler ThreatLabz وeSentire أن برمجيات سرقة المعلومات، مثل Vidar وAtomic macOS Stealer (AMOS)، يتم توزيعها أيضًا باستخدام تقنية ClickFix، عبر طُعم يستهدف مستخدمي روبوت الذكاء الاصطناعي DeepSeek.
كما تم رصد هجمات تصيد احتيالي تستغل تقنية تشفير JavaScript فريدة، تعتمد على إدراج أحرف غير مرئية من Unicode لتمثيل القيم الثنائية (0 و1)، مما يجعل الكود البرمجي يبدو غير ضار عند تحليله.
تم توثيق هذه الطريقة لأول مرة في أكتوبر 2024، وتستخدم أحرف Hangul الخاصة بـ Unicode لتمثيل القيم الثنائية، مما يسمح بتحويل النصوص البرمجية إلى أحرف غير قابلة للتمييز بسهولة.
“كانت هذه الهجمات شديدة التخصيص، حيث تضمنت معلومات غير عامة، كما أن كود JavaScript الأولي كان يحاول تنفيذ نقطة توقف (debugger breakpoint) إذا تم تحليله، ثم يُلغي الهجوم ويعيد توجيه الضحية إلى موقع آمن،” وفقًا لتقرير Juniper Threat Labs.
