Недавно была выявлена вредоносная кампания, использующая вводящие в заблуждение страницы с капчей для распространения Lumma Stealer — разновидности вредоносного ПО для кражи информации, работающего по модели «вредоносное ПО как услуга» (MaaS). Запущенная в 2022 году, эта кампания продолжает эволюционировать, применяя фишинговую технологию ClickFix, нацеленную на процесс проверки Google, чтобы маскироваться под страницы проверки Cloudflare.
Тактика и процесс заражения
Процесс заражения начинается с поддельной страницы с капчей, на которой отображается сообщение, похожее на «Я не робот — проверка с помощью Cloudflare». Это предлагает пользователю выполнить команду через диалоговое окно запуска Windows. Ключевые этапы атаки включают:
- Активация mshta.exe, что запускает встроенный в веб-страницу VBScript.
- Создание WScript.Shell для запуска команды PowerShell.
- Использование Invoke-WebRequest для загрузки вредоносного файла (g.exe) с удаленного сервера и его сохранение в папке «Загрузки».
- Выполнение файла (v.exe), который расшифровывает и загружает Lumma Stealer в память.
Методы социальной инженерии
Кампания умело использует социальную инженерию, маскируясь под легитимный процесс проверки Cloudflare, чтобы обманом заставить пользователей использовать вредоносный контент. Скрипт JavaScript на поддельной странице с капчей содержит две встроенные полезные функции:
- Первая полезная нагрузка предназначена для загрузки и выполнения вредоносного файла с именем kyc.mp4.
- Вторая использует mshta.exe для запуска команды PowerShell с целью загрузки g.exe.
Одним из ключевых компонентов атаки является функция copyToClipboard(), которая незаметно копирует вредоносную команду PowerShell в буфер обмена пользователя. Это позволяет злоумышленникам манипулировать пользователями, заставляя их вставить и выполнить команду в терминале PowerShell, облегчая процесс загрузки и установки вредоносного ПО.
Технические аспекты Lumma Stealer
Загрузчик данной кампании использует процесс расшифровки своей полезной нагрузки при помощи специальных вызовов API, таких как VirtualProtect, WriteProcessMemory и CreateThread, что позволяет внедрять вредоносный код в память процесса, эффективно избегая обнаружения. Возможности Lumma Stealer включают:
- Захват скриншотов с использованием API-интерфейсов Windows GDI.
- Извлечение конфиденциальной информации из буфера обмена.
- Установление командно-контрольного соединения (C2C) для фильтрации украденных данных.
Кроме того, злоумышленники маскируют свой трафик с помощью общего пользовательского агента, чтобы избежать обнаружения решениями сетевого мониторинга.
Заключение
Кампания ClickFix наглядно демонстрирует, как хакеры применяют тактику социальной инженерии для обхода мер безопасности. Используя поддельные страницы с капчей Cloudflare, перехват буфера обмена и утилиты Windows, такие как MSHTA и PowerShell, злоумышленники эффективно доставляют и запускают программу Lumma Stealer. Применение методов антианализа в рамках .NET loader и многоязычные переводы подчеркивают продуманный подход к расширению круга потенциальных жертв, что делает Lumma Stealer одной из самых широко распространенных и растущих угроз в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносная кампания ClickFix: угроза Lumma Stealer усиливается".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.