Исследователи в области кибербезопасности продемонстрировали крупномасштабную фишинговую кампанию, в которой злоумышленники используют вредоносные документы PDF, опубликованные популярными интернет-ресурсами для обеспечения вредоносного ПО.

Эксперты по сети обнаруженный 260 четких доменов, на которых размещаются около 5000 файлов PDF с фишинговыми сайтами. Компания обнаружила, что злоумышленники используют оптимизацию SEO, чтобы повысить видимость вредоносных страниц в результатах поиска.

Как правило, фишинговые сайты предназначены для кражи данных банковских карт. В признанной злонамеренной кампании файлы PDF содержат поддельные капчи, которые поощряют пользователей проводить злонамеренные команды PowerShell. В результате Lumma Searer приглашается на ее Fostiller, с помощью которых могут украсть различные данные с инфицированных компьютеров Windows.

Lumma Searer действует в соответствии с моделью злокачественной службы (MAAS) и предлагает инструменты киберпреступности для сбора данных с инфицированных устройств. В начале оператора Lumma интегрирован в прокси -модуль Ghostsock, написанный в Go.

В соответствии с данными Infrawatch, новая функциональность позволяет злоумышленникам использовать инфицированные устройства в качестве прокси -сервера, в результате чего географические ограничения и проверки IP -адресов. Этот вариант особенно опасен для финансовых организаций и других очень ценных целей, поскольку они увеличивают вероятность успешного взлома учетных записей, данные которых были украдены информационными стадиями.

По словам экспертов, выявленная атака более 1150 организаций и более 7000 пользователей второй половины 2024 года. Основными жертвами являются компании из Северной Америки, Азии и Южной Европы, которые работают в области технологий, финансовых услуг и промышленного производства.

Из 260 доменов, в которых размещены файлы PDF, важная часть подключена к CDN. Кроме того, нападавшие использовали Godaddy, ударив, Wix и Fast. Некоторые документы в PDF были приглашены для открытия онлайн -библиотек и переоценков, таких как PDFCOFFEE, PDF4PRO, PDFBEAN и интернет -архив, что увеличивает их шансы на результаты поиска.

Этот инцидент ясно показывает, как развивается современный киберизм с сочетанием социальной инженерии, законных платформ и передовых технических решений. Не только масштаб атаки представляет особую опасность, но и его многослойный слой: от оптимизации SEO до победы в жертвах, чтобы преобразовать зараженные устройства в инструменты для дальнейших атак прокси-модулей.

Увеличение популярности такого типа угроз подчеркивает необходимость комплексного подхода к кибербезопасности, который включает не только техническую защиту, но и увеличение сознания пользователя для современных методов фишинга.