СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.03.2025
#ИБ

Новая волна атак: LummaStealer угрожает путешественникам

Новая волна атак: LummaStealer угрожает путешественникам

Источник: www.gdatasoftware.com

В мире кибербезопасности вновь зафиксирован рост активности киберпреступников, нацеленных на путешественников. Аналитики G DATA сообщают о неординарной кампании, начавшейся в январе 2025 года, в рамках которой злоумышленники создают поддельные веб-сайты для бронирования и внедряют фишинговые программы.

Сложные методы заражения

Основная цель злоумышленников — распространение LummaStealer, вредоносной программы, появившейся на рынке как «Вредоносное ПО как услуга» (MaaS) в 2022 году. Среди новшеств данного метода можно отметить:

  • Переход на недобросовестную рекламу как способ распространения.
  • Использование мошеннических страниц бронирования для заражения пользователей.
  • Эффективное применение методов социальной инженерии, таких как ClickFix.

Инновационные методы социальной инженерии

Цепочка заражения начинается, когда пользователь переходит по подозрительному URL-адресу. Он перенаправляет на взломанный сайт бронирования, где пользователю предлагается выполнить команду PowerShell через Windows Run Command, при этом используется:

  • Размытый документ из законного источника.
  • Проверка с помощью CAPTCHA для подталкивания к выполнению вредоносных действий.

Усложнение обнаружения угрозы

Новые образцы LummaStealer значительно увеличили свою вредоносную нагрузку на 350% по сравнению с предыдущими версиями и эффективно маскируются под законные установщики. Это помогает им обходить антивирусные проверки, используя двоичное заполнение, что создает дополнительные затруднения для защитников.

Кроме того, LummaStealer использует метод обфускации под названием косвенный поток управления, что осложняет его анализ в реальном времени.

Широкая сеть фишинговых атак

Исследования показали, что исходный URL-адрес перенаправления связан с другими фишинговыми веб-сайтами. Это указывает на более широкую сеть злонамеренных действий, использующих аналогичные методы обмана. Данные из VirusTotal показали наличие нескольких поддоменов, связанных с исходной фишинговой ссылкой, все из которых используют технологию ClickFix для кражи учетных данных.

Прогнозы аналитиков

Рост популярности LummaStealer совпадает с аналогичным ростом знаменитого вредоносного ПО Emotet. Это говорит о том, что киберпреступники продолжают непрерывно развивать свои методы атаки. Аналитики предполагают, что LummaStealer продолжит действовать, применяя сложные методы социальной инженерии для увеличения своей аудитории.

Эксперты по безопасности настоятельно призывают к бдительности, сосредоточившись на отслеживании и анализе этих новых угроз, чтобы усилить защиту от киберпреступной деятельности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: