Lummastealer и вредоносное расширение: угроза после Genesis Market

Команда исследователей в области кибербезопасности Cybereason GSOC недавно обнаружила новую разновидность вредоносного ПО, связанного с известным семейством Lummastealer. Эта версия использует вредоносное расширение для браузера — сложный инструмент, встроенный в кампанию по удалению Genesis Market, одной из крупнейших нелегальных торговых площадок украденных учетных данных.

Genesis Market — масштабная угроза цифровой безопасности

Genesis Market функционирует с марта 2018 года и за это время получил доступ к данным около 1,5 миллионов взломанных компьютеров по всему миру. Объем украденной информации превышает 80 миллионов учетных данных. Площадки такого рода играют ключевую роль в экосистеме киберпреступности, предоставляя преступникам возможность использовать компрометированные аккаунты и данные для проведения дальнейших атак.

Механизм работы вредоносного расширения Lummastealer

Последняя полезная нагрузка Lummastealer — это расширение для браузеров, нацеленных на популярные платформы, такие как:

• Google Chrome
• Opera
• Brave
• Microsoft Edge

Это расширение включает в себя набор скриптовых инструментов, которые позволяют злоумышленникам систематически собирать критически важные данные с зараженного устройства.

Основные функции расширения включают:

• Сбор информации о браузере
• Перехват содержимого буфера обмена
• Кражу файлов cookie
• Отслеживание истории посещенных сайтов и текущих открытых вкладок
• Извлечение данных электронной почты и конфиденциальной информации с платформ Outlook, Yahoo и Gmail
• Попытки обойти двухфакторную аутентификацию, анализируя электронные письма на предмет кодов подтверждения

Сценарий атаки и методы скрытности

Атака обычно начинается с фишинговых сайтов, с которых жертвы неосознанно скачивают zip-архив с вредоносным установщиком MSI. После запуска установщика вредоносное ПО выполняет следующие действия:

1. Методами боковой загрузки DLL или удаления DLL-файлов загружается библиотека LummaStealer.
2. Запускается скрипт PowerShell, который подключается к домену командования и контроля (C2) и извлекает в закодированном формате base64 дополнительную вредоносную нагрузку.
3. Исполняется скрипт, который устанавливает вредоносное расширение Genesis Market в несколько браузеров.
4. Изменяются настройки браузера для сохранения расширения после перезапуска.
5. Инициируется процесс, включая запуск экземпляров браузеров, создание папок с установочными файлами и выполнение JavaScript для сбора и передачи конфиденциальных данных.

Для поддержания связи и передачи данных злоумышленники используют WebSocket-соединения, что затрудняет обнаружение активности вредоносного ПО.

Противодействие и последствия

Оперативные меры в области кибербезопасности включают активный демонтаж инфраструктуры Genesis Market. В частности, правоохранительные органы осуществили арест нескольких доменных имен, связанных с данной платформой, что снижает возможности киберпреступников для дальнейших атак.

Тем не менее, последствия заражений остаются крайне серьезными, особенно для пользователей из критически важных инфраструктурных и государственных секторов. Как подчеркивают эксперты, полученные данные открывают злоумышленникам широкие возможности для эксплоитации уязвимостей и проведения целенаправленных атак.

Вывод: новое вредоносное расширение, связанное с Lummastealer и Genesis Market, представляет значительную угрозу кибербезопасности, требующую повышенного внимания и мер по защите персональных и корпоративных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.