Saat menjelajahi situs web game, pengguna dibujuk untuk mengeklik iklan yang menutupi seluruh layar. Setelah itu, mereka diarahkan ke halaman CAPTCHA palsu dengan petunjuk berupa perintah yang mengelabui mereka agar mengunduh stealer tersebut. Saat pengguna mengeklik tombol “Saya bukan robot”, perintah Windows PowerShell yang dikodekan disalin ke clipboard PC mereka.
Kemudian mereka akan diminta untuk menempelkannya ke kotak terminal dan menekan Enter, yang secara tanpa sengaja akhirnya mengunduh dan meluncurkan Lumma. Malware tersebut mencari file terkait asset kripto, cookie, dan data pengelola kata sandi di perangkat korban. Malware tersebut juga mengunjungi halaman web berbagai platform e-commerce, meningkatkan jumlah tampilan, dan memberi penyerang keuntungan finansial tambahan.
Dalam gelombang serangan baru, peneliti Kaspersky mengidentifikasi skenario serangan lain di mana, alih-alih CAPTCHA, pesan kesalahan halaman web ditampilkan, yang dirancang agar tampak seperti pesan layanan di peramban web Chrome. Penyerang memerintahkan pengguna untuk “menyalin perbaikan” ke jendela terminal (perbaikannya adalah perintah PowerShell berbahaya yang sama seperti yang dijelaskan di atas).