СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.01.2025
#Dev#ИБ#Инфра

Новая тактика Lumma Stealer: обман через поддельные капчи

Новая тактика Lumma Stealer: обман через поддельные капчи

Изображение: cert-agid.gov.it

Недавний отчет от CERT-AGID выявил новую тактику, применяемую злоумышленником Lumma Stealer для распространения своего вредоносного ПО. Используя поддельные капчи, злоумышленник обманул ничего не подозревающих жертв, что привело к инсталяции вируса на их устройства.

Методы атак и распространение вредоносного ПО

В ходе кампании, прошедшей в октябре 2024 года, злоумышленники рассылали ложные уведомления об уязвимостях безопасности в репозиториях на GitHub. Жертвы, кликнув по ссылке в уведомлении, попадали на фальшивую капчу с инструкциями:

  • Скопировать указанный PowerShell скрипт.
  • Запустить его с помощью комбинации клавиш WIN+R (Выполнить).

Эти действия позволили введенному коду попасть в системы жертв, что подтвердило успешность атаки.

Анализ взломанного домена

Недавний анализ CERT-AGID также выявил итальянский домен с устаревшей версией CMS WordPress, который был скомпрометирован с целью распространения Lumma Stealer. Исследование исходного кода взломанного домена выявило наличие скрытого JavaScript-скрипта в кодировке Base64.

Этот скрипт изначально использовался для генерации поддельных CAPTCHA, нацеленных на пользователей MS Windows. Следуя инструкциям в CAPTCHA, жертвы запускали скрипт PowerShell, который загружал и выполнял удаленные файлы.

Технические детали скриптов

Скрипт PowerShell, известный как filesh, имел размер 10 МБ и содержал около 22 000 строк кода. Попытки анализа скрипта в онлайн-среде «песочницы» оказались неэффективными из-за его способности обходить механизмы защиты.

Ключевой элемент управления кодом обнаружился в переменной $GdFsODSAO, которая связана с интерфейсом AMSI. Этот ключ, известный как AMSI_RESULT_NOT_DETECTED, свидетельствует о том, что код не был опознан как вредоносный.

Использование данных и поддержка операционной активности

Дополнительно, вредоносная программа Lumma Stealer продолжает использовать профиль сообщества Steam для своей деятельности. В этом профиле указаны серверные домены с кодировкой ROT15, которые используются для утечки данных:

  • Учетные записи
  • Финансовая информация
  • Личные данные

Эти серверы также служат точками связи для получения обновлений и дополнительных файлов от злоумышленников, стоящих за Lumma Stealer. Таким образом, можно наблюдать многогранный подход, применяемый Lumma Stealer, что позволяет задерживать свои вредоносные активности и минимизировать риски обнаружения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: