СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.03.2025
#Dev#ИБ

Эволюция атаки Lumma Stealer: угроза через ClickFix

Эволюция атаки Lumma Stealer: угроза через ClickFix

Недавние расследования выявили продолжающуюся эволюцию кампаний в стиле ClickFix, используемых для развертывания вредоносной программы Lumma Stealer. Эти кампании используют взаимодействие с пользователем, внедряя вредоносные скрипты в буфер обмена пользователя и заставляя его выполнять вредоносные команды.

Механизм атак

Атаки включают в себя вводящие в заблуждение веб-страницы, которые инструктируют пользователей открыть окно запуска и вставить сценарий PowerShell из буфера обмена, тем самым выполняя его, ничего не подозревая. Основные компоненты метода включают:

  • Олицетворение домена, где злоумышленники регистрируют доменные имена, похожие на имена законных служб, например, windows-update.site.
  • Размещение вредоносных веб-страниц на надежных платформах, таких как Google, что повышает доверие пользователей.
  • Использование скриптов PowerShell, встроенных в zip-архивы с настоящими и ложными файлами.

Процесс заражения

Злоумышленники используют стороннюю загрузку библиотек DLL для запуска Lumma Stealer, постепенно внедряя более сложные методы, которые помогают избежать обнаружения. Например, один из методов заражения включает поддельную страницу Google Meet, размещенную на сайтах Google, заставляя пользователей запускать команду PowerShell, которая загружает скрипт с tlgrm-redirect.icu.

Обнаруженные компоненты

Скрипт облегчает извлечение zip-архива из plsverif.cfd, который содержит файлы, необходимые для развертывания Lumma Stealer. Примечательно, что команды PowerShell, используемые в этих кампаниях, специально разработаны для скрытия их вредоносных намерений: некоторые команды декодируют текст Base64 в исполняемые скрипты.

Трафик и домены управления

Вредоносные схемы трафика, выявленные во время этих атак, включают HTTP POST-запросы на адрес tlgrmverif.cyou/log.php с указанием подтверждений для различных этапов выполнения и загрузок из связанных доменов. Необходимо отметить, что несколько доменов управления (C2), связанных с этими операциями, стали неактивными.

Итоги и рекомендации

Выявленные компоненты вредоносного ПО включают:

  • Скрипт PowerShell, извлеченный из tlgrm-redirect.icu с хэшем 909ed8a135.
  • Zip-архив с файлами Lumma Stealer, размещенные на plsverif.cfd с хэшем 0608775a345.
  • Библиотека DLL с именем DuiLib_u.dll, связанная с Lumma Stealer.

Сложность архитектуры развертывания вредоносной программы подчеркивает необходимость постоянной бдительности и принятия контрмер против методов распространения вредоносных программ, направленных пользователями.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: