Поддельные капчи: новая угроза от Lumma Stealer

Лаборатория Netskope Threat Labs недавно обнаружила новую вредоносную кампанию, использующую поддельные капчи для распространения Lumma Stealer, вредоносного ПО, работающего по модели «вредоносное ПО как услуга» (MaaS), по крайней мере, с 2022 года. Данная кампания приобретает широкое распространение, жертвами становятся люди в разных странах, включая Аргентину, Колумбию, Соединенные Штаты и Филиппины, в отраслях, таких как здравоохранение, банковское дело и маркетинг.
Цели и методы злоумышленников
По-видимому, основной целью этой кампании является телекоммуникационный сектор. Злоумышленники применяют различные методы доставки Lumma, среди которых:
- Взломанное программное обеспечение
- CDN-адрес Discord
- Поддельные страницы с капчей
Цепочка заражения включает множество полезных функций и методов, такие как:
- Блокировка процессов
- Упрощение PowerShell
Тактика социальной инженерии
В ходе данной кампании исследователи выявили новую полезную нагрузку, вредоносную рекламу на новых веб-сайтах и использование фрагментов кода с открытым исходным кодом для обхода мер безопасности. Кампания Lumma Stealer использует поддельные капчи, в которых жертвам предлагается запускать команды из буфера обмена с помощью команды Windows Run, что затрудняет обнаружение обычными техниками защиты.
“Поддельные капчи являются сложной тактикой социальной инженерии, направленной на обман жертв,” — отмечают эксперты лаборатории. “Они вводят пользователей в заблуждение, заставляя их выполнять команды, которые приводят к заражению.”
Методы обхода защиты
Одна из полезных нагрузок включает в себя фрагмент программного обеспечения с открытым исходным кодом для обхода интерфейса Windows Anti-Malware Scan Interface (AMSI), что еще больше расширяет возможности его обхода. С августа 2024 года Lumma Stealer внедряет поддельные капчи, указывающие жертвам на выполнение команд на их компьютерах.
Код веб-сайта содержит фрагмент JavaScript, который управляет буфером обмена для выполнения команд с использованием встроенного инструмента mshta.exe, позволяющего загружать и запускать вредоносные файлы с удаленных серверов. Злоумышленники используют методологию LOLBIN, которая предполагает выполнение вредоносного кода с помощью надежных двоичных файлов, таких как mshta, что сводит к минимуму воздействие средств защиты на основе браузера.
Зависимости и последствия атаки
Загружаемые вредоносные файлы имеют обманчивые расширения, такие как .mp3, .accdb и .pub, содержащие замаскированное содержимое и вредоносный компонент JavaScript. После выполнения JavaScript запускается PowerShell для расшифровки и выполнения дальнейших этапов атаки, направленных на обход AMSI.
Последней полезной нагрузкой, загружаемой рефлекторно, является сам Lumma Stealer, который активно развивается в соответствии с моделью MaaS, создавая проблемы для обнаружения и устранения последствий из-за различных методов доставки и полезной нагрузки.
Необходимость защищенности
Расширенная защита от угроз Netskope направлена на противодействие этим угрозам посредством упреждающего охвата различных уровней атаки. Поскольку вредоносная программа Lumma Stealer продолжает развиваться, лаборатория Netskope Threat Labs продолжает внимательно следить за ее тактикой, методами и процедурами (TTP), подчеркивая необходимость постоянных мер кибербезопасности для эффективной борьбы с такими сложными угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



