Интернет-магазин MagazinWeb

CloudSEK сообщает, что вредоносное ПО Lumma Stealer распространяется на устройства Windows через поддельные страницы проверки личности

Эти поддельные страницы проверки личности человека предлагают пользователям запускать скрытые команды для загрузки вредоносного ПО.

Lumma Stealer Malware Being Spread to Windows Devices via Fake Human Verification Pages, CloudSEK Says

На данный момент Lumma Stealer — единственная известная вредоносная программа, использующая этот метод Реклама <стр>Lumma Stealer, недавно обнаруженное вредоносное ПО для кражи информации, распространяется среди пользователей через поддельные страницы проверки личности человека. По словам исследователей из компании по кибербезопасности CloudSEK, вредоносное ПО нацелено на устройства Windows и предназначено для кражи конфиденциальной информации с зараженного устройства. В связи с этим исследователи обнаружили несколько фишинговых веб-сайтов, которые используют эти поддельные страницы проверки, чтобы обманом заставить пользователей загрузить вредоносное ПО. Исследователи CloudSEK предупредили организации о необходимости внедрения решений по защите конечных точек и обучения сотрудников и пользователей этой новой тактике социальной инженерии.

Вредоносное ПО Lumma Stealer распространяется с использованием новой техники фишинга

Согласно отчету CloudSEK, было обнаружено несколько активных веб-сайтов, распространяющих вредоносное ПО Lumma Stealer. Впервые эта техника была обнаружена Unit42 в компании Palo Alto Networks, занимающейся кибербезопасностью, но теперь считается, что масштаб цепочки распространения гораздо больше, чем предполагалось ранее.

Злоумышленники создали несколько вредоносных веб-сайтов и добавили поддельную систему проверки человека, напоминающую страницу Google Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA). Однако, в отличие от обычной страницы CAPTCHA, где пользователи должны поставить галочки в нескольких полях или выполнить похожие задачи на основе шаблонов, чтобы доказать, что они не бот, поддельные страницы просят пользователя выполнить некоторые необычные команды.

В одном случае исследователи обнаружили поддельную страницу проверки, предлагающую пользователям выполнить скрипт PowerShell. Скрипты PowerShell содержат ряд команд, которые можно выполнить в диалоговом окне «Выполнить». В этом случае было обнаружено, что команды извлекают содержимое из файла a.txt, размещенного на удаленном сервере. Это побудило файл загрузиться и извлечься в системе Windows, заразив ее Lumma Stealer.

В отчете также перечислены вредоносные URL-адреса, которые были обнаружены при распространении вредоносного ПО среди ничего не подозревающих пользователей. Однако это не полный список, и могут быть и другие сайты, осуществляющие атаку.

  • hxxps[://]heroic-genie-2b372e[.]netlify[.]app/please-verify-z[.]html
  • hxxps[://]fipydslaongos[.]b-cdn[.]net/please-verify-z[.]html
  • hxxps[://]sdkjhfdskjnck[.]s3[.]amazonaws[.]com/human-verify-system[.]html
  • hxxps[://]verifyhuman476[.]b-cdn[.]net/human-verify-system[.]html
  • hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/human-verify-system[.]html
  • hxxps[://]verifyhuman476[.]b-cdn[.]net/human-verify-system[.]html
  • hxxps[://]newvideozones[.]click/veri[.]html
  • hxxps[://]ch3[.]dlvideosfre[.]click/human-verify-system[.]html
  • hxxps[://]newvideozones[.]click/veri[.]html
  • hxxps[://]ofsetvideofre[.]click

Исследователи также заметили, что сети доставки контента (CDN) использовались для распространения этих поддельных страниц проверки. Кроме того, было обнаружено, что злоумышленники использовали кодировку base64 и манипуляции с буфером обмена, чтобы избежать демонстрации. Также возможно распространение других вредоносных программ с использованием той же техники, хотя такие случаи пока не наблюдались.

Поскольку modus operandi атаки основан на фишинговых методах, ни один патч безопасности не может предотвратить заражение устройств. Однако есть некоторые шаги, которые пользователи и организации могут предпринять для защиты от вредоносного ПО Lumma Stealer.

  • Уязвимость Telegram позволяет хакерам отправлять вредоносное ПО в виде видео: отчет

Согласно отчету, пользователи и сотрудники должны быть осведомлены об этой тактике фишинга, чтобы помочь им не поддаться на нее. Кроме того, организации должны внедрять и поддерживать надежные решения для защиты конечных точек для обнаружения и блокировки атак на основе PowerShell. Кроме того, регулярное обновление и исправление систем для уменьшения уязвимостей, которые может использовать вредоносное ПО Lumma Stealer, также должно помочь.