Sommario
Un’indagine condotta da Netskope Threat Labs ha rivelato una campagna di phishing su larga scala che sfrutta PDF dannosi, falsi CAPTCHA e tecniche di manipolazione SEO per ingannare gli utenti alla ricerca di manuali e documenti online. Questo attacco, che ha già colpito oltre 7.000 utenti e 1.150 organizzazioni, mira principalmente a rubare dati personali e informazioni di pagamento, ma in alcuni casi funge anche da vettore per la distribuzione del malware Lumma Stealer.
Come funziona l’attacco?
Gli aggressori caricano file PDF malevoli su vari domini e piattaforme di condivisione documenti, sfruttando parole chiave ad alto volume di ricerca come “pdf”, “download gratuito” e “modulo stampabile” per posizionarli nei risultati dei motori di ricerca. Una volta aperto il file, l’utente viene indirizzato a una pagina con un falso CAPTCHA, che lo induce a inserire informazioni personali o a eseguire comandi dannosi.
Alcuni di questi PDF contengono immagini di pulsanti di download fasulli, che una volta cliccati reindirizzano a siti truffaldini. In alcuni casi, viene richiesto all’utente di incollare un codice nel terminale Windows, attivando uno script PowerShell che scarica ed esegue il malware Lumma Stealer, progettato per sottrarre credenziali e dati finanziari.
Le piattaforme coinvolte e l’uso delle tecniche SEO
Secondo Netskope, gli attacchi sono distribuiti su oltre 260 domini, tra cui Webflow, Wix, GoDaddy, Strikingly e Fastly. Gli aggressori sfruttano la reputazione di questi provider di content delivery network (CDN) per eludere i filtri di sicurezza e rendere i link dannosi più credibili. Inoltre, caricano i PDF infetti su piattaforme di condivisione documenti come Internet Archive, PDFCoffee, PDFBean e PDF4Pro, aumentando la probabilità che gli utenti li trovino tramite ricerche legittime.
Quasi la metà delle parole chiave mirate riguarda la ricerca di manuali e guide utente, mentre una quota significativa è legata a moduli e template scaricabili. Questa strategia aumenta notevolmente la diffusione dell’attacco, intercettando persone che cercano documentazione tecnica o risorse per la produttività.
L’uso di Lumma Stealer nei PDF dannosi
Oltre al furto di informazioni personali, alcuni dei file PDF analizzati servono come vettore per distribuire il malware Lumma Stealer. Dopo aver cliccato sul pulsante di download del documento, l’utente viene indirizzato a una pagina con un falso CAPTCHA che richiede l’esecuzione di un comando PowerShell. Se il comando viene incollato ed eseguito, si avvia una catena di infezione che scarica ed esegue il malware.
Lumma Stealer è un trojan bancario capace di sottrarre credenziali, dati delle carte di credito e cookie di sessione dai browser. Questo tipo di infezione è particolarmente pericoloso per aziende del settore tecnologico, finanziario e manifatturiero, che rappresentano i principali bersagli dell’attacco.
Come proteggersi da questa minaccia
Per difendersi da questo tipo di phishing avanzato, Netskope raccomanda di adottare misure di sicurezza proattive. È fondamentale evitare di scaricare PDF da fonti non verificate, prestare attenzione ai CAPTCHA sospetti e non eseguire comandi da siti sconosciuti. Le aziende dovrebbero inoltre implementare soluzioni di sicurezza avanzate, come il monitoraggio dei file scaricati e la verifica delle pagine web visitate dai dipendenti.
Il fenomeno delle trappole SEO combinate con file PDF dannosi è in crescita, e gli aggressori stanno perfezionando continuamente le loro tecniche per eludere i controlli di sicurezza. Netskope Threat Labs continuerà a monitorare queste campagne di phishing per individuare nuove varianti e fornire aggiornamenti sulla loro evoluzione.
Questa campagna dimostra quanto siano sofisticate le attuali minacce informatiche, che sfruttano non solo tecniche tradizionali di phishing, ma anche strumenti di ottimizzazione per i motori di ricerca per massimizzare la diffusione degli attacchi. L’uso di falsi CAPTCHA, file PDF apparentemente legittimi e malware come Lumma Stealer rappresenta un’evoluzione pericolosa delle truffe online.
Le aziende e gli utenti devono rimanere vigili e adottare strategie di protezione adeguate per evitare di cadere vittima di queste minacce. L’attenzione alla sicurezza informatica è più che mai cruciale, soprattutto in un contesto in cui gli attacchi diventano sempre più mirati e difficili da rilevare.
