Los ciberdelincuentes siempre encuentran formas ingeniosas de engañar a la gente, y esta vez lo están haciendo con PDFs que contienen supuestos CAPTCHA falsos. Investigadores de ciberseguridad han descubierto una campaña masiva de phishing con más de 5,000 archivos PDF repartidos en 260 dominios, todos diseñados para llevar a las víctimas a sitios maliciosos y robarles credenciales, datos financieros y otra información sensible con el malware Lumma Stealer.
Lo peor es que estos archivos están alojados en plataformas legítimas como Webflow y GoDaddy, lo que los hace parecer completamente confiables. Y para colmo, los atacantes están usando trucos de SEO para que estos archivos aparezcan en los resultados de búsqueda y así engañar a más personas.
Si alguna vez abriste un PDF que te pedía comprobar que "no eres un robot", podrías haber estado a un clic de caer en esta estafa. En este artículo, te contamos cómo funciona este ataque, por qué es tan peligroso y qué puedes hacer para protegerte.
Los ataques de phishing suelen centrarse en robar datos de tarjetas de crédito, pero en esta nueva campaña los ciberdelincuentes han ido un paso más allá. Ahora, algunos archivos PDF falsos incluyen imágenes de CAPTCHA fraudulentas que, en lugar de verificar si eres un humano, te engañan para que ejecutes comandos maliciosos de PowerShell. ¿El resultado? Tu dispositivo queda infectado con Lumma Stealer, un malware diseñado para robar credenciales, datos financieros y otra información personal.
Se estima que esta campaña ya ha afectado a más de 1,150 organizaciones y 7,000 usuarios, con ataques dirigidos principalmente a Norteamérica, Asia y el sur de Europa, especialmente en los sectores de tecnología, servicios financieros y manufactura.
Webflow, GoDaddy y hasta bibliotecas de PDF están involucradas
Los ciberdelincuentes están alojando estos archivos en 260 dominios diferentes, y la mayoría están vinculados a plataformas legítimas como Webflow, GoDaddy, Strikingly, Wix y Fastly. Pero eso no es todo: algunos de estos archivos también han sido subidos a bibliotecas en línea y repositorios populares como PDFCOFFEE, PDF4PRO, PDFBean e Internet Archive, lo que hace que sean aún más fáciles de encontrar a través de motores de búsqueda.
Los PDFs utilizados en este ataque tienen dos métodos principales de engaño:
- Algunos incluyen imágenes CAPTCHA falsas para robar información de tarjetas de crédito.
- Otros simulan un botón de descarga, que lleva a la víctima a un sitio malicioso disfrazado de página de verificación CAPTCHA.
Una vez en el sitio, el usuario es víctima de un truco llamado ClickFix, una técnica que ejecuta un comando MSHTA, lo que activa un script de PowerShell que descarga el malware Lumma Stealer en el dispositivo.
Pero esta no es la única estrategia que están usando los atacantes. En las últimas semanas, Lumma Stealer también ha sido distribuido como supuestos juegos de Roblox y versiones pirateadas de Total Commander para Windows. Para atraer víctimas, los hackers utilizan videos de YouTube, probablemente subidos desde cuentas previamente hackeadas, donde incluyen enlaces maliciosos en las descripciones, comentarios o incluso dentro de los propios videos.
Según expertos en ciberseguridad, ser escéptico con los enlaces en YouTube y evitar descargar archivos de fuentes no verificadas puede marcar la diferencia para mantenerse a salvo de estas amenazas.
Los investigadores también descubrieron que los registros de Lumma Stealer están siendo compartidos de forma gratuita en Leaky[.]pro, un foro de piratería relativamente nuevo que apareció a finales de diciembre de 2024.
Lumma Stealer: Malware como servicio que sigue evolucionando
Para quienes no lo conocen, Lumma Stealer es un malware "todo en uno" que se vende como un servicio (lo que se conoce como Malware-as-a-Service o MaaS). Básicamente, los ciberdelincuentes pueden pagar por acceder a esta herramienta y usarla para robar información de dispositivos con Windows infectados.
A principios de 2024, los operadores de Lumma anunciaron que habían integrado su malware con GhostSocks, un software proxy basado en Golang. ¿Por qué esto es preocupante? Porque añade una función de retroconexión SOCKS5, que permite a los atacantes usar la conexión a Internet de la víctima para evadir restricciones geográficas y controles de seguridad basados en IP.
Esto es especialmente grave para instituciones financieras y otros objetivos de alto valor, ya que aumenta las probabilidades de que los ciberdelincuentes logren acceder a cuentas protegidas usando credenciales robadas. En pocas palabras, no solo te roban tus datos, sino que pueden usarlos de manera más efectiva para acceder a sistemas protegidos, lo que hace que las infecciones de Lumma sean aún más peligrosas.
Podría interesarte leer: Lumma Stealer usa Anuncios y Captcha Falsos para Robar Datos
¿Cómo Protegerse del Phishing con PDFs?
Dado el aumento de estos ataques, es fundamental que tanto usuarios como empresas adopten medidas de protección. Aquí te damos algunas recomendaciones clave:
1. Verifica la Fuente del PDF: Si recibes un archivo PDF por correo electrónico o en un mensaje, pregunta siempre quién lo envió y si realmente esperabas recibirlo. Si el remitente es desconocido o sospechoso, evita abrirlo.
2. No Hagas Clic en Enlaces Dentro de PDFs Sospechosos: Antes de hacer clic en cualquier enlace dentro de un PDF, pasa el cursor sobre él y verifica si la URL parece legítima. Si el enlace es acortado o no coincide con el dominio oficial de la empresa, es una señal de alerta.
3. Activa la Autenticación en Dos Pasos (2FA): Incluso si un atacante logra robar tus credenciales, la autenticación en dos pasos puede evitar que acceda a tus cuentas. Activa esta medida en correos electrónicos, cuentas bancarias y redes sociales.
4. Usa Software de Seguridad y Filtros de Phishing: Las soluciones de seguridad avanzadas pueden detectar y bloquear archivos PDF maliciosos antes de que lleguen a tu bandeja de entrada. Una solución como TecnetProtect, por ejemplo, ofrece filtros de phishing avanzados que analizan enlaces y archivos en tiempo real, bloqueando amenazas antes de que puedan hacer daño. Además, cuenta con protección proactiva contra malware y ataques de ingeniería social, lo que ayuda a prevenir infecciones incluso si un usuario accidentalmente interactúa con contenido peligroso.
5. Capacita a los Empleados y Usuarios: En entornos empresariales, es vital capacitar a los trabajadores para que reconozcan ataques de phishing y sepan cómo actuar. Realizar simulaciones periódicas ayuda a fortalecer la seguridad.
6. Reporta Archivos Sospechosos: Si recibes un PDF sospechoso, repórtalo a tu departamento de TI para ayudar a prevenir futuros ataques.
Conclusión
El phishing con archivos PDF se está volviendo cada vez más común, y lo peor es que mucha gente ni siquiera sospecha que estos archivos pueden ser peligrosos. El hecho de que se hayan encontrado más de 5,000 PDFs maliciosos en 260 dominios deja claro que los ciberdelincuentes están perfeccionando sus estrategias y que es muy importante estar alerta.
Para evitar caer en la trampa, ten cuidado con los archivos que descargas, revisa bien los enlaces antes de hacer clic y activa la autenticación en dos pasos siempre que puedas. Además, contar con soluciones de seguridad avanzadas puede marcar la diferencia. TecnetProtect, por ejemplo, ofrece filtros de phishing avanzados y protección en tiempo real para detectar y bloquear estos ataques antes de que lleguen a tu bandeja de entrada.
La mejor defensa sigue siendo la educación, la prevención y el uso de herramientas adecuadas. Mantente informado, protege tus dispositivos y comparte estos consejos con los demás.
