В мире кибербезопасности вновь зафиксирован рост активности киберпреступников, нацеленных на путешественников. Аналитики G DATA сообщают о неординарной кампании, начавшейся в январе 2025 года, в рамках которой злоумышленники создают поддельные веб-сайты для бронирования и внедряют фишинговые программы.
Сложные методы заражения
Основная цель злоумышленников — распространение LummaStealer, вредоносной программы, появившейся на рынке как «Вредоносное ПО как услуга» (MaaS) в 2022 году. Среди новшеств данного метода можно отметить:
- Переход на недобросовестную рекламу как способ распространения.
- Использование мошеннических страниц бронирования для заражения пользователей.
- Эффективное применение методов социальной инженерии, таких как ClickFix.
Инновационные методы социальной инженерии
Цепочка заражения начинается, когда пользователь переходит по подозрительному URL-адресу. Он перенаправляет на взломанный сайт бронирования, где пользователю предлагается выполнить команду PowerShell через Windows Run Command, при этом используется:
- Размытый документ из законного источника.
- Проверка с помощью CAPTCHA для подталкивания к выполнению вредоносных действий.
Усложнение обнаружения угрозы
Новые образцы LummaStealer значительно увеличили свою вредоносную нагрузку на 350% по сравнению с предыдущими версиями и эффективно маскируются под законные установщики. Это помогает им обходить антивирусные проверки, используя двоичное заполнение, что создает дополнительные затруднения для защитников.
Кроме того, LummaStealer использует метод обфускации под названием косвенный поток управления, что осложняет его анализ в реальном времени.
Широкая сеть фишинговых атак
Исследования показали, что исходный URL-адрес перенаправления связан с другими фишинговыми веб-сайтами. Это указывает на более широкую сеть злонамеренных действий, использующих аналогичные методы обмана. Данные из VirusTotal показали наличие нескольких поддоменов, связанных с исходной фишинговой ссылкой, все из которых используют технологию ClickFix для кражи учетных данных.
Прогнозы аналитиков
Рост популярности LummaStealer совпадает с аналогичным ростом знаменитого вредоносного ПО Emotet. Это говорит о том, что киберпреступники продолжают непрерывно развивать свои методы атаки. Аналитики предполагают, что LummaStealer продолжит действовать, применяя сложные методы социальной инженерии для увеличения своей аудитории.
Эксперты по безопасности настоятельно призывают к бдительности, сосредоточившись на отслеживании и анализе этих новых угроз, чтобы усилить защиту от киберпреступной деятельности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая волна атак: LummaStealer угрожает путешественникам".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.