Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Analisi dettagliata dell’attacco “Fast Propagating Fake Captcha” e la distribuzione di LummaStealer

Analisi dettagliata dell’attacco “Fast Propagating Fake Captcha” e la distribuzione di LummaStealer

7 Marzo 2025 07:14

Negli ultimi anni, il panorama delle minacce informatiche è mutato radicalmente, grazie anche all’evoluzione delle tecniche di attacco e alla crescente diffusione di malware disponibili come Malware-as-a-Service (MaaS). Uno degli esempi più recenti di questa tendenza è LummaStealer, un malware progettato per sottrarre informazioni sensibili dagli endpoint compromessi, in particolare credenziali memorizzate nei browser e portafogli di criptovalute.

Tra ottobre 2024 e febbraio 2025, LummaStealer è stato distribuito attraverso un ingegnoso stratagemma che ha fatto leva su pagine di verifica CAPTCHA false, inducendo le vittime a compiere azioni che hanno portato all’infezione del sistema. Questo articolo analizza in dettaglio il funzionamento dell’attacco, la struttura della minaccia e le misure per mitigarne l’impatto.

Il vettore d’attacco: pagine CAPTCHA fasulle

L’attacco ha preso di mira utenti che navigano su siti web infetti o compromessi da campagne di malvertising (pubblicità malevole). La strategia sfrutta un comportamento ormai consolidato: le persone sono abituate a superare CAPTCHAs per dimostrare di non essere bot, rendendo questa tecnica particolarmente efficace.

Advertising

Fasi dell’attacco:

  1. Esposizione della vittima
    • L’utente accede a un sito web compromesso o viene reindirizzato tramite pubblicità malevole a una pagina fasulla che richiede la verifica tramite CAPTCHA.
    • Il sito può essere stato manipolato tramite attacchi di watering hole o distribuzione di pubblicità dannose attraverso reti pubblicitarie.
  2. Induzione della fiducia
    • La pagina appare del tutto legittima: utilizza lo stesso stile grafico e il comportamento di un CAPTCHA reale.
    • L’utente, fidandosi della richiesta, interagisce con il CAPTCHA senza sospettare nulla.
  3. Esecuzione dello script malevolo
    • Una volta completato il CAPTCHA, viene eseguito in background uno script offuscato che avvia il download di un payload malevolo.
    • Lo script può sfruttare tecniche di evasione per eludere il rilevamento da parte degli antivirus e dei sistemi EDR (Endpoint Detection and Response).
  4. Download e installazione di LummaStealer
    • Il payload scaricato avvia l’installazione di LummaStealer, spesso senza richiedere interazione diretta dell’utente.
    • Il malware si insedia nel sistema, sfruttando meccanismi di persistenza per rimanere attivo anche dopo un riavvio.
  5. Esfiltrazione dei dati sensibili
    • LummaStealer inizia a sottrarre informazioni salvate nel browser, tra cui password, cookie di sessione, dati delle carte di credito e credenziali di accesso ai servizi online.
    • Vengono prese di mira anche le applicazioni di gestione delle criptovalute, compromettendo i portafogli digitali e consentendo il furto di asset finanziari.
  6. Connessione al server C2 e monetizzazione
    • I dati raccolti vengono inviati a un server di comando e controllo (C2), dove gli attaccanti possono analizzarli e rivenderli nel dark web o utilizzarli direttamente per frodi e accessi non autorizzati.

Indicatori di compromissione (IoC) e infrastruttura della minaccia

L’attacco è stato tracciato attraverso una serie di domini malevoli, utilizzati sia per distribuire il malware sia per l’esfiltrazione dei dati:

  • h3.errantrefrainundocked.shop
  • googlesearchings.art
  • amazon-ny-gifts.com
  • writerspzm.shop
  • celebratioopz.shop
  • futureddospzmvq.shop
  • dealersopfosu.shop
  • complaintspzzx.shop
  • languageedscie.shop

Grazie al monitoraggio DNS Early Detection di Infoblox, è stato possibile individuare questi domini in media 46,8 giorni prima della loro segnalazione pubblica, consentendo di bloccare molte infezioni prima che avvenissero.

Impatto degli Stealer: perché sono una minaccia così grave?

I malware della categoria Stealer rappresentano una delle minacce più insidiose, poiché rubano informazioni in modo silenzioso e mirato, con impatti devastanti:

  • Compromissione di account sensibili, inclusi quelli aziendali, bancari e amministrativi.
  • Furto di identità digitale e uso fraudolento delle credenziali rubate.
  • Esfiltrazione di criptovalute, con perdite economiche dirette per le vittime.
  • Uso dei cookie di sessione per bypassare l’autenticazione e ottenere accesso a servizi senza necessità di password.

Tecniche MITRE ATT&CK impiegate

L’attacco LummaStealer sfrutta diverse tecniche del framework MITRE ATT&CK, tra cui:

  • T1078 – Uso di credenziali compromesse
  • T1566Phishing
  • T1204 – Esecuzione utente ingannevole
  • T1027 – Offuscamento del codice per eludere i controlli
  • T1134 – Escalation di privilegi tramite manipolazione dei token
  • T1059 – Esecuzione di comandi remoti tramite script dannosi
  • T1102 – Comunicazione con servizi C2 tramite infrastrutture pubblicitarie

Come proteggersi da questa minaccia

Affrontare gli Stealer come LummaStealer richiede un approccio multi-strato che combini prevenzione, rilevamento e risposta rapida.

Strategie di mitigazione:

  1. Monitoraggio DNS: adottare soluzioni che rilevino e blocchino i domini malevoli in fase precoce.
  2. Educazione e consapevolezza: formare gli utenti a riconoscere CAPTCHA sospetti e siti fasulli.
  3. Threat Intelligence: integrare gli Indicatori di Compromissione (IoC) nei sistemi SIEM/SOC per prevenire infezioni.
  4. Autenticazione multi-fattore (MFA): per mitigare il rischio legato al furto di credenziali.
  5. Bloccare gli script non necessari: limitare l’esecuzione di script offuscati può ridurre l’efficacia dell’attacco.
  6. Monitoraggio delle transazioni crypto: implementare alert per attività sospette nei portafogli digitali.

L’attacco Fake CAPTCHA – LummaStealer è un esempio concreto di come i cybercriminali innovino costantemente le loro tattiche per ingannare gli utenti e superare le difese tradizionali. La combinazione di tecniche di ingegneria sociale, adtech malevolo e automazione rende questi attacchi particolarmente difficili da contrastare.

L’adozione di strumenti di threat intelligence avanzati e la collaborazione tra aziende di cybersecurity sono essenziali per fermare queste minacce prima che causino danni significativi.

Per ulteriori dettagli, consulta il report completo su Infoblox Blog.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Sandro Sana 300x300
CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore