Um novo relatório da CTM360 descreve uma campanha de malware que usa o Google Groups e outros serviços da Google para distribuir o infostealer Lumma e um navegador trojanizado chamado “Ninja Browser”. Os operadores criaram milhares de grupos e URLs hospedados pela própria Google, explorando a confiança em domínios legítimos. A campanha visa roubar credenciais e manter persistência em sistemas Windows e Linux.
Segundo o relatório, foram identificados mais de 4.000 grupos Google maliciosos e mais de 3.500 URLs hospedadas pela Google que redirecionam para instaladores do Lumma Stealer e do Ninja Browser adulterado. A estratégia permite que os atacantes abusem da reputação de serviços confiáveis para contornar filtros de segurança baseados em domínio e reputação.
Uma vez instalados, o Lumma Stealer e o navegador trojanizado coletam credenciais, cookies de sessão e outros dados sensíveis, e podem manter persistência em sistemas Windows e Linux, ampliando o impacto da campanha. A natureza multiplataforma e o uso de infraestrutura legítima tornam essa operação particularmente difícil de bloquear apenas com listas de bloqueio tradicionais.
A CTM360 recomenda que organizações revisem políticas de acesso a serviços da Google, implementem inspeção aprofundada de tráfego e reforcem a detecção de padrões associados ao Lumma e a navegadores não autorizados. Também é indicado treinar usuários para reconhecer prompts suspeitos de instalação de extensões e navegadores, bem como utilizar EDRs com capacidades de detecção de infostealers.
Sistemas Afetados
- Estações Windows com navegação web liberada
- Ambientes Linux que permitem instalação de navegadores de terceiros
Fonte: BleepingComputer / CTM360
Ler fonte original