В сентябре 2024 года в результате разведки систем безопасности была выявлена активная кампания с использованием Lumma Stealer, известного инфокрада, который впервые появился в середине 2022 года и приписывается русскоязычному разработчику. Эта вредоносная программа функционирует по модели «Малварь как услуга» (MaaS), а ее распространение и обновления рекламируются через Telegram и на специальном сайте Gitbook.
Методы работы Lumma Stealer
Lumma Stealer нацелен на получение конфиденциальной информации, включая:
- Пароли
- Токены сеансов
- Криптовалютные кошельки
- Личные данные
Для достижения своей цели программа использует сложные методы доставки, манипулируя доверием пользователей к системам CAPTCHA. Хакеры используют новую тактику:
- Жертвы направляются на фишинговые сайты под предлогом законной проверки с помощью CAPTCHA.
- Пользователям предлагается ввести вредоносную команду PowerShell в интерфейсе командной строки.
- Эта команда активирует скрытую функцию JavaScript, которая извлекает сценарий PowerShell с сервера управления (C2), инициируя процесс установки вредоносного ПО.
Загрузка и распространение Lumma Stealer
После выполнения скрипта PowerShell вредоносная программа загружается на зараженный компьютер, обычно сохраняясь как ArtistSponsorship.exe в каталоге пользователя %AppData%. Сообщается, что вредоносное ПО подключается к различным доменам C2, в том числе к домену, связанному с утечкой конфиденциальной информации, такой как учетные данные браузера и файлы cookie, особенно из Chrome, Firefox и Edge.
Тактики обмана пользователей
Вызывает особую обеспокоенность использование тактики введения в заблуждение. Злоумышленники создают вредоносные сайты, которые маскируются под доброкачественные ресурсы, предлагая загрузить, казалось бы, законные файлы, такие как документы. Метод доставки включает запутанные скрипты, которые выполняют дополнительные уровни команд, затрудняя обнаружение вредоносного ПО. При этом вредоносная программа умело управляет загрузкой данных, используя динамические параметры, указанные хакером, что улучшает ее методы уклонения.
Необходимость защиты
На момент публикации отчета наблюдаются признаки использования тысяч поддельных сайтов с CAPTCHA, а также совместные исследования, проводимые различными охранными фирмами. Для защитников крайне важно:
- Тщательно изучать индикаторы компрометации (IOCs), связанные с Lumma Stealer.
- Применять надежные технологии обнаружения конечных точек.
- Обучать пользователей навыкам работы с системами CAPTCHA, так как эта угроза использует привычные функции безопасности обманчивыми способами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Рост угрозы Lumma Stealer: Непредсказуемые методы атаки".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.