网络安全研究人员近日发现，钓鱼一场大规模的域名钓鱼活动正在通过Webflow内容分发网络（CDN）上的PDF文档传播Lumma窃取程序。这些PDF文档中包含虚假的传播成陷验证码（CAPTCHA）图像，用于诱骗受害者下载恶意软件。窃取程

钓鱼活动规模惊人

Netskope Threat Labs表示，序伪他们发现了260个独特的装验证码域名，这些域名托管了5000个钓鱼PDF文件，钓鱼这些文件会将受害者重定向到恶意网站。域名安全研究员Jan Michael Alcantara在一份报告中指出：“攻击者利用搜索引擎优化（SEO）技术，传播成陷诱骗受害者点击恶意搜索结果。窃取程”他还补充道：“虽然大多数钓鱼页面都专注于窃取信用卡信息，序伪但一些PDF文件中包含虚假的装验证码验证码，诱骗受害者执行恶意的钓鱼PowerShell命令，最终导致Lumma窃取程序的域名感染。”

据估计，传播成陷自2024年下半年以来，这场钓鱼活动已影响到超过1150家组织和7000多名用户，受害者主要分布在北美、亚洲和南欧的技术、金融服务和制造行业。

PDF文件的传播渠道

在这260个托管虚假PDF文件的域名中，大部分与Webflow相关，其次是GoDaddy、免费信息发布网Strikingly、Wix和Fastly。此外，攻击者还将部分PDF文件上传到合法的在线文库和PDF存储库，如PDFCOFFEE、PDF4PRO、PDFBean和Internet Archive，这使得用户在搜索引擎上搜索PDF文档时会被引导到这些恶意文件。

这些PDF文件中包含的虚假验证码图像，既可以作为窃取信用卡信息的工具，也可以作为下载恶意文档的诱饵。点击这些图像后，受害者会被重定向到一个伪装成验证码验证页面的恶意网站，该网站利用ClickFix技术诱骗受害者运行一个MSHTA命令，通过PowerShell脚本执行窃取程序。

Lumma窃取程序的多重伪装

近期，Lumma窃取程序还被伪装成Roblox游戏和Windows工具Total Commander的破解版，展示了各类威胁行为者采用的多样化传播机制。用户通过YouTube视频被重定向到这些恶意网站，这些视频很可能是从先前被入侵的账户上传的。网络安全公司Silent Push提醒：“恶意链接和受感染的文件通常隐藏在YouTube视频、服务器托管评论或描述中。与YouTube内容互动时，尤其是当被提示下载或点击链接时，保持警惕和谨慎可以帮助防范这些日益增长的威胁。”

此外，网络安全公司还发现，Lumma窃取程序的日志正在一个名为Leaky[.]pro的相对较新的黑客论坛上免费分享。该论坛于2024年12月下旬开始运营。

Lumma窃取程序的功能与扩展

Lumma窃取程序是一款功能齐全的犯罪软件，以恶意软件即服务（MaaS）模式销售，能够从受感染的Windows主机中获取各种信息。2024年初，该恶意软件运营商宣布与一款基于Golang的代理恶意软件GhostSocks集成。Infrawatch指出：“为现有的Lumma感染或其他恶意软件添加SOCKS5反向连接功能，对威胁行为者来说非常有利。通过利用受害者的互联网连接，攻击者可以绕过地理限制和基于IP的完整性检查，尤其是金融机构和其他高价值目标实施的检查。亿华云这一功能显著提高了使用窃取程序日志中获取的凭据进行未经授权访问尝试的成功率，进一步增强了Lumma感染的后续利用价值。”

其他恶意软件的类似传播方式

近期，Vidar和Atomic macOS Stealer（AMOS）等窃取程序也通过ClickFix方法传播，引诱用户访问DeepSeek人工智能（AI）聊天机器人的钓鱼网站。此外，钓鱼攻击还利用了一种JavaScript混淆技术，该技术使用不可见的Unicode字符表示二进制值。Juniper Threat Labs表示：“这些攻击高度个性化，包含非公开信息，初始的JavaScript会尝试调用调试器断点，如果检测到延迟，则会通过重定向到良性网站来中止攻击。”