В октябре 2024 года CERT-AGID обнаружил новую методику атаки киберпреступника Lumma Stealer. Злоумышленник использует поддельные капчи, чтобы вводить в заблуждение жертв и распространять вредоносное ПО, что подчеркивает изменчивость киберугроз.
Описание атаки
Согласно информации от CERT-AGID, злоумышленники рассылали ложные уведомления о якобы обнаруженных уязвимостях в репозиториях пользователей на GitHub. Жертвы, кликнув на подозрительные ссылки, попадали на сайты с сфабрикованной капчей, которая просила их выполнить:
- Скопировать и запустить скрипт PowerShell через функцию WIN+R (Выполнить).
- В итоге это приводило к загрузке Lumma Stealer на устройства жертв.
Взлом и использование устаревших систем
Недавно CERT-AGID выявил итальянский домен с устаревшей версией CMS WordPress, который был взломан для распространения Lumma Stealer. Анализ исходного кода показал:
- Скрыто внедренный JavaScript в кодировке Base64.
- Скрипт предназначен для создания обманчивой CAPTCHA для пользователей MS Windows.
Жертвы, следуя инструкциям из CAPTCHA, запускали скрипт PowerShell, который загружал удаленный файл.
Технические детали вредоносной программы
Скрипт PowerShell, названный filesh, имел объем 10 МБ и содержал около 22 000 строк кода. Несмотря на попытки анализа в среде «песочницы», механизм обнаружения оказался недостаточным, что потребовало ручной проверки:
- Ключ XOR ($GdFsODSAO) был получен путем переназначения переменных в коде длиной 18 000 строк.
- AMSI_RESULT_NOT_DETECTED указывает на то, что содержание не было обнаружено антивирусами.
Для декодирования содержимого был разработан фрагмент кода на Python, который позволил расшифровать данные, и в результате был найден исполняемый файл (EXE) — сама Lumma Stealer.
Использование серверов C2
Лума Стилер продолжает использовать профиль сообщества Steam для своей деятельности. Иммиент в профиле указывает на серверные домены с кодировкой ROT15 (C2), предназначенные для:
- Утечки учетных данных, финансовой информации и личных данных.
- Связи с киберпреступниками для получения обновлений и дополнительных файлов.
Наличие зашифрованных данных C2 в профиле Steam подчеркивает сложность методов Lumma Stealer для поддержания своей активности и обхода механизмов защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая атака Lumma Stealer: подделка капчи и вирусы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
