通过将数据盗窃商品化为一种可租赁的武器，Lumma Stealer 服务使其操作者能够将用户的一个误点击变成广泛的加密货币和财务损失。

一个新的研究简报由DNSFilter发布，显示假验证码页面对加密货币用户构成的威胁正在增加，这些页面使用欺骗性的“我不是机器人”提示来分发针对加密钱包的恶意软件。

根据DNSFilter的信息，恶意活动首先被其托管服务提供商（MSP）的客户发现。最初看似普通的验证码验证实际上是为了部署Lumma Stealer，这是一种无文件恶意软件，能够窃取浏览器中存储的凭证和钱包信息。

虽然DNSFilter的内容过滤成功阻止了攻击，但其研究人员追踪到了基础设施，揭示了更广泛的协同式网络钓鱼活动模式。

冒充验证码的诈骗针对希腊银行用户，通过PowerShell技巧分发Lumma Stealer

事件开始于用户在希腊银行网站上遇到一个验证码覆盖层。该页面模仿了合法的验证码，但显示了一条声称DNS“网络错误”的消息，指示用户按Windows + R，粘贴剪贴板中的命令，然后按回车键。

按照这些步骤，会在浏览器外通过PowerShell秘密执行Lumma Stealer负载，并执行DNS查找。

DNSFilter 将此次竞选与另外两个域名关联起来：human-verify-7u.pages.dev，一个 Cloudflare Pages 网站，用户点击按钮后返回错误，以及 recaptcha-manual.shop，在用户按照提示操作后在浏览器外执行命令。

进一步调查，详见DNSFilter的案例研究，显示该活动是复杂的网络钓鱼和恶意软件分发的结合。攻击者依赖无文件执行技术，利用合法的浏览器进程在不写入磁盘的情况下分发有效负载。

DNSFilter在其网络上部署了内容过滤和域名阻止控制，防止在任何凭证或钱包数据被窃取之前发生感染。警报和阻止策略实时更新，并且MSP进行了终端用户教育活动，以强化与可疑CAPTCHA互动的危险性。

“此次事件中的恶意软件是Lumma Stealer，通过一个欺骗性的恶意广告链中的假CAPTCHA传播。如果分析师的设备被感染，PowerShell有效负载可能会禁用Windows AMSI并加载Lumma DLL，”报告解释道。

“Stealer 会立即扫描系统以获取它可以货币化的任何内容——浏览器中存储的密码和 Cookie、保存的 2FA 令牌、加密货币钱包数据、远程访问凭据，甚至密码管理器的保险库。”

分析显示，在短短三天内，假CAPTCHA在DNSFilter网络中被访问了23次。更令人担忧的是，17%的用户在遇到该页面时遵循了其复制和粘贴说明，触发了恶意软件的有效载荷尝试。虽然在此次事件中DNSFilter阻止了成功的感染，研究人员指出，如果任其发展，其潜在规模是相当大的。

快速清洗留下诈骗受害者无法追回被盗加密货币

据报道，网络犯罪分子正在以空前的速度清洗被盗的加密货币。以目前的速度，虚假验证码 scheme 的受害者几乎没有任何机会追回他们的资金。

根据之前的报告，加密黑客现在可以在三分钟内通过洗钱网络转移被盗的数字资产。

Elliptic的数据显示，通过使用自动化清洗工具和去中心化交易所（DEXs），黑客可以在几分钟内完成整个清洗过程。

“这种新的速度使实时干预几乎不可能，”报告警告道。

网络安全专家警告称，这些虚假验证码诈骗不仅对大型公司构成威胁，也对普通用户构成威胁，因为它们通常伪装成登录门户或应用程序安装的一部分，并针对那些在钱包被榨干之前可能不会怀疑有欺诈行为的普通互联网用户。

“坏人利用生活中的高潮和低谷，”Ken Carnesi说，他是DNSFilter的首席执行官和联合创始人。“任何组织中的任何个人都有可能遇到恶意链接。标准的网络安全建议适用：使用唯一的密码，在提交凭据之前验证你正在“交谈”的人，并且在点击之前思考。”

快速的洗钱过程加剧了影响。受害者通常发现失窃太晚。执法机构很难在多个区块链之间追踪被盗资金。然而，专家指出，当网络安全公司及时介入时，仍然可以找回全部或部分被盗资金。

“速度至关重要。如果在24到72小时内采取适当的行动，资金往往可以全部或部分追回，”网络安全专家Cameron G. Shilling在一份出版物中说道。

随着黑客继续缩短清洗时间，受害者的风险预计将会增加。“网络犯罪分子和防御者之间的军备竞赛正在加速，” Elliptic得出结论。“速度现在是黑客最大的武器。”