Команда исследователей в области кибербезопасности Cybereason GSOC недавно обнаружила новую разновидность вредоносного ПО, связанного с известным семейством Lummastealer. Эта версия использует вредоносное расширение для браузера — сложный инструмент, встроенный в кампанию по удалению Genesis Market, одной из крупнейших нелегальных торговых площадок украденных учетных данных.
Genesis Market — масштабная угроза цифровой безопасности
Genesis Market функционирует с марта 2018 года и за это время получил доступ к данным около 1,5 миллионов взломанных компьютеров по всему миру. Объем украденной информации превышает 80 миллионов учетных данных. Площадки такого рода играют ключевую роль в экосистеме киберпреступности, предоставляя преступникам возможность использовать компрометированные аккаунты и данные для проведения дальнейших атак.
Механизм работы вредоносного расширения Lummastealer
Последняя полезная нагрузка Lummastealer — это расширение для браузеров, нацеленных на популярные платформы, такие как:
- Google Chrome
- Opera
- Brave
- Microsoft Edge
Это расширение включает в себя набор скриптовых инструментов, которые позволяют злоумышленникам систематически собирать критически важные данные с зараженного устройства.
Основные функции расширения включают:
- Сбор информации о браузере
- Перехват содержимого буфера обмена
- Кражу файлов cookie
- Отслеживание истории посещенных сайтов и текущих открытых вкладок
- Извлечение данных электронной почты и конфиденциальной информации с платформ Outlook, Yahoo и Gmail
- Попытки обойти двухфакторную аутентификацию, анализируя электронные письма на предмет кодов подтверждения
Сценарий атаки и методы скрытности
Атака обычно начинается с фишинговых сайтов, с которых жертвы неосознанно скачивают zip-архив с вредоносным установщиком MSI. После запуска установщика вредоносное ПО выполняет следующие действия:
- Методами боковой загрузки DLL или удаления DLL-файлов загружается библиотека LummaStealer.
- Запускается скрипт PowerShell, который подключается к домену командования и контроля (C2) и извлекает в закодированном формате base64 дополнительную вредоносную нагрузку.
- Исполняется скрипт, который устанавливает вредоносное расширение Genesis Market в несколько браузеров.
- Изменяются настройки браузера для сохранения расширения после перезапуска.
- Инициируется процесс, включая запуск экземпляров браузеров, создание папок с установочными файлами и выполнение JavaScript для сбора и передачи конфиденциальных данных.
Для поддержания связи и передачи данных злоумышленники используют WebSocket-соединения, что затрудняет обнаружение активности вредоносного ПО.
Противодействие и последствия
Оперативные меры в области кибербезопасности включают активный демонтаж инфраструктуры Genesis Market. В частности, правоохранительные органы осуществили арест нескольких доменных имен, связанных с данной платформой, что снижает возможности киберпреступников для дальнейших атак.
Тем не менее, последствия заражений остаются крайне серьезными, особенно для пользователей из критически важных инфраструктурных и государственных секторов. Как подчеркивают эксперты, полученные данные открывают злоумышленникам широкие возможности для эксплоитации уязвимостей и проведения целенаправленных атак.
Вывод: новое вредоносное расширение, связанное с Lummastealer и Genesis Market, представляет значительную угрозу кибербезопасности, требующую повышенного внимания и мер по защите персональных и корпоративных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Lummastealer и вредоносное расширение: угроза после Genesis Market".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.