Недавние расследования выявили продолжающуюся эволюцию кампаний в стиле ClickFix, используемых для развертывания вредоносной программы Lumma Stealer. Эти кампании используют взаимодействие с пользователем, внедряя вредоносные скрипты в буфер обмена пользователя и заставляя его выполнять вредоносные команды.
Механизм атак
Атаки включают в себя вводящие в заблуждение веб-страницы, которые инструктируют пользователей открыть окно запуска и вставить сценарий PowerShell из буфера обмена, тем самым выполняя его, ничего не подозревая. Основные компоненты метода включают:
- Олицетворение домена, где злоумышленники регистрируют доменные имена, похожие на имена законных служб, например, windows-update.site.
- Размещение вредоносных веб-страниц на надежных платформах, таких как Google, что повышает доверие пользователей.
- Использование скриптов PowerShell, встроенных в zip-архивы с настоящими и ложными файлами.
Процесс заражения
Злоумышленники используют стороннюю загрузку библиотек DLL для запуска Lumma Stealer, постепенно внедряя более сложные методы, которые помогают избежать обнаружения. Например, один из методов заражения включает поддельную страницу Google Meet, размещенную на сайтах Google, заставляя пользователей запускать команду PowerShell, которая загружает скрипт с tlgrm-redirect.icu.
Обнаруженные компоненты
Скрипт облегчает извлечение zip-архива из plsverif.cfd, который содержит файлы, необходимые для развертывания Lumma Stealer. Примечательно, что команды PowerShell, используемые в этих кампаниях, специально разработаны для скрытия их вредоносных намерений: некоторые команды декодируют текст Base64 в исполняемые скрипты.
Трафик и домены управления
Вредоносные схемы трафика, выявленные во время этих атак, включают HTTP POST-запросы на адрес tlgrmverif.cyou/log.php с указанием подтверждений для различных этапов выполнения и загрузок из связанных доменов. Необходимо отметить, что несколько доменов управления (C2), связанных с этими операциями, стали неактивными.
Итоги и рекомендации
Выявленные компоненты вредоносного ПО включают:
- Скрипт PowerShell, извлеченный из tlgrm-redirect.icu с хэшем 909ed8a135.
- Zip-архив с файлами Lumma Stealer, размещенные на plsverif.cfd с хэшем 0608775a345.
- Библиотека DLL с именем DuiLib_u.dll, связанная с Lumma Stealer.
Сложность архитектуры развертывания вредоносной программы подчеркивает необходимость постоянной бдительности и принятия контрмер против методов распространения вредоносных программ, направленных пользователями.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция атаки Lumma Stealer: угроза через ClickFix".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.