Oprogramowanie Lumma Stealer rozprzestrzenia się na urządzenia z systemem Windows za pośrednictwem fałszywych stron weryfikacji człowieka, twierdzi CloudSEK

Lumma Stealer, niedawno zidentyfikowane złośliwe oprogramowanie kradnące informacje, jest dystrybuowane do użytkowników za pośrednictwem fałszywych stron weryfikacyjnych. Według badaczy z firmy zajmującej się cyberbezpieczeństwem CloudSEK, złośliwe oprogramowanie atakuje urządzenia z systemem Windows i ma na celu kradzież poufnych informacji z zainfekowanego urządzenia. Co niepokojące, badacze odkryli wiele witryn phishingowych, które wdrażają te fałszywe strony weryfikacyjne, aby oszukać użytkowników i nakłonić ich do pobrania złośliwego oprogramowania. Badacze z CloudSEK ostrzegli organizacje, aby wdrożyły rozwiązania ochrony punktów końcowych i przeszkoliły pracowników i użytkowników w zakresie tej nowej taktyki inżynierii społecznej.

Oprogramowanie Lumma Stealer jest dystrybuowane przy użyciu nowej techniki phishingu

Zgodnie z CloudSEK raportodkryto, że wiele aktywnych witryn internetowych rozprzestrzenia złośliwe oprogramowanie Lumma Stealer. Technika ta została po raz pierwszy odkryty przez Unit42 z Palo Alto Networks, firmy zajmującej się cyberbezpieczeństwem, jednak obecnie uważa się, że zakres łańcucha dystrybucji jest znacznie większy, niż wcześniej zakładano.

Atakujący utworzyli różne złośliwe witryny i dodali fałszywy system weryfikacji ludzkiej, przypominający stronę Google Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA). Jednak w przeciwieństwie do zwykłej strony CAPTCHA, na której użytkownicy muszą zaznaczyć kilka pól lub wykonać podobne zadania oparte na wzorcach, aby udowodnić, że nie są botem, fałszywe strony instruują użytkownika, aby uruchomił kilka nietypowych poleceń.

W jednym przypadku badacze zauważyli fałszywą stronę weryfikacyjną proszącą użytkowników o wykonanie skryptu PowerShell. Skrypty PowerShell zawierają serię poleceń, które można wykonać w oknie dialogowym Uruchom. W tym przypadku polecenia zostały znalezione w celu pobrania zawartości z pliku a.txt hostowanego na zdalnym serwerze. Spowodowało to pobranie pliku i wyodrębnienie go w systemie Windows, infekując go Lumma Stealer.

W raporcie wymieniono również złośliwe adresy URL, które zauważono, że rozsyłają złośliwe oprogramowanie do niczego niepodejrzewających użytkowników. Nie jest to jednak pełna lista i może być więcej takich witryn przeprowadzających atak.

• hxxps[://]bohaterski-dżin-2b372e[.]netlify[.]aplikacja/proszę-zweryfikować-z[.]html

• hxxps[://]fipydslaongos[.]b-kanadyjski[.]sieć/proszę-zweryfikować-z[.]html

• hxxps[://]sdkjhfdskjnck[.]s3[.]amazonaws[.]com/human-verify-system[.]html

• hxxps[://]zweryfikujhuman476[.]b-kanadyjski[.]sieć/system-weryfikacji-ludzkiej[.]html

• hxxps[://]Publikacja-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/human-verify-system[.]html

• hxxps[://]zweryfikujhuman476[.]b-kanadyjski[.]sieć/system-weryfikacji-ludzkiej[.]html

• hxxps[://]nowe strefy wideo[.]kliknięcia/prawda[.]html

• hxxps[://]rozdz.3[.]dlvideosfree[.]kliknij/system-weryfikacji-ludzkiej[.]html

• hxxps[://]nowe strefy wideo[.]kliknięcia/prawda[.]html

• hxxps[://]offsetwideofre[.]trzask

Badacze zaobserwowali również, że sieci dostarczania treści (CDN) były używane do rozprzestrzeniania tych fałszywych stron weryfikacyjnych. Ponadto atakujący zostali zauważeni przy użyciu kodowania base64 i manipulacji schowkiem w celu uniknięcia demonstracji. Możliwe jest również rozpowszechnianie innego złośliwego oprogramowania przy użyciu tej samej techniki, chociaż do tej pory nie zaobserwowano takich przypadków.

Ponieważ modus operandi ataku opiera się na technikach phishingu, żadna łatka bezpieczeństwa nie może zapobiec zainfekowaniu urządzeń. Istnieją jednak pewne kroki, które użytkownicy i organizacje mogą podjąć, aby zabezpieczyć się przed złośliwym oprogramowaniem Lumma stealer.

Zgodnie z raportem użytkownicy i pracownicy powinni być świadomi tej taktyki phishingu, aby nie dać się nabrać. Ponadto organizacje powinny wdrożyć i utrzymywać niezawodne rozwiązania ochrony punktów końcowych w celu wykrywania i blokowania ataków opartych na PowerShell. Ponadto regularne aktualizowanie i łatanie systemów w celu zmniejszenia luk, które może wykorzystać złośliwe oprogramowanie Lumma Stealer, również powinno pomóc.