一个新的网络钓鱼活动使用虚假的 CAPTCHA 验证页面来诱骗 Windows 用户运行恶意 PowerShell 命令、安装 Lumma Stealer 恶意软件并窃取敏感信息。随时了解和保护。

CloudSec 的网络安全研究人员发现了一种新的网络钓鱼活动，该活动诱骗用户通过虚假的人工验证页面运行恶意命令。该活动主要针对 Windows 用户，旨在安装 Lumma Stealer 恶意软件，导致敏感信息被盗。

威胁行为者正在创建托管在各种平台上的网络钓鱼网站，包括 Amazon S3 存储桶和内容分发网络 （CDN）。这些网站模仿合法的验证页面，例如虚假的 Google CAPTCHA 页面。当用户单击 “Verify” 按钮时，他们会看到不寻常的指示：

打开“运行”对话框 （Win+R）按 Ctrl+V按 Enter 键

在用户不知道的情况下，这些操作会执行一个隐藏的 JavaScript 函数，该函数将 base64 编码的 PowerShell 命令复制到剪贴板。当用户粘贴并运行命令时，它会从远程服务器下载 Lumma Stealer 恶意软件。

CloudSec 在周四发布之前与 Hackread.com 分享的报告显示，下载的恶意软件通常会下载额外的恶意组件，这使得检测和删除变得更加困难。虽然目前用于传播 Lumma Stealer，但这种技术可以轻松适应提供其他类型的恶意软件。

供您参考，Lumma Stealer 旨在从受感染的设备中窃取敏感数据。虽然目标的具体数据可能有所不同，但通常包括登录凭据、财务信息和个人文件。就在这次最新的活动是在恶意软件被发现伪装成 OnlyFans 黑客工具感染其他黑客的设备几天后进行的。

2024 年 1 月，发现 Lumma 通过受感染的 YouTube 频道分发的破解软件进行传播。早些时候，在 2023 年 11 月，研究人员发现了 LummaC2 的新版本，称为 LummaC2 v4.0，它使用三角技术来窃取用户数据来检测人类用户。

我在此确认。https://t.co/1q4cARQLDM pic.twitter.com/GEBzqJeaSs

— 瓦卡斯 （@WAK4S） 2023 年 12 月 31 日

既然已经报道了新的 Lumma 窃取者感染狂潮，企业和毫无戒心的用户需要保持警惕，避免陷入最新的虚假验证骗局。以下是一些常识性规则和简单而必要的提示，用于防范 Lumma 和其他类似的窃取者：

教育自己和他人：与朋友、家人和同事分享这些信息，以提高对这种新威胁的认识。警惕不寻常的验证请求：合法网站很少要求用户通过 “Run” 对话框执行命令。对任何提出此类请求的网站保持警惕。不要复制和粘贴未知命令：避免从不受信任的来源复制和粘贴任何内容，尤其是要在终端或命令提示符下运行的命令。保持软件更新：确保您的操作系统和防病毒软件是最新的，以修补已知漏洞。重要：关注 Hackread.com 了解最新的网络安全新闻。