Эти поддельные страницы проверки личности человека предлагают пользователям запускать скрытые команды для загрузки вредоносного ПО.
Вредоносное ПО Lumma Stealer распространяется с использованием новой техники фишинга
Согласно отчету CloudSEK, было обнаружено несколько активных веб-сайтов, распространяющих вредоносное ПО Lumma Stealer. Впервые эта техника была обнаружена Unit42 в компании Palo Alto Networks, занимающейся кибербезопасностью, но теперь считается, что масштаб цепочки распространения гораздо больше, чем предполагалось ранее.
Злоумышленники создали несколько вредоносных веб-сайтов и добавили поддельную систему проверки человека, напоминающую страницу Google Completely Automated Public Turing test to tell Computers and Humans Apart (CAPTCHA). Однако, в отличие от обычной страницы CAPTCHA, где пользователи должны поставить галочки в нескольких полях или выполнить похожие задачи на основе шаблонов, чтобы доказать, что они не бот, поддельные страницы просят пользователя выполнить некоторые необычные команды.
В одном случае исследователи обнаружили поддельную страницу проверки, предлагающую пользователям выполнить скрипт PowerShell. Скрипты PowerShell содержат ряд команд, которые можно выполнить в диалоговом окне «Выполнить». В этом случае было обнаружено, что команды извлекают содержимое из файла a.txt, размещенного на удаленном сервере. Это побудило файл загрузиться и извлечься в системе Windows, заразив ее Lumma Stealer.
В отчете также перечислены вредоносные URL-адреса, которые были обнаружены при распространении вредоносного ПО среди ничего не подозревающих пользователей. Однако это не полный список, и могут быть и другие сайты, осуществляющие атаку.
- hxxps[://]heroic-genie-2b372e[.]netlify[.]app/please-verify-z[.]html
- hxxps[://]fipydslaongos[.]b-cdn[.]net/please-verify-z[.]html
- hxxps[://]sdkjhfdskjnck[.]s3[.]amazonaws[.]com/human-verify-system[.]html
- hxxps[://]verifyhuman476[.]b-cdn[.]net/human-verify-system[.]html
- hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/human-verify-system[.]html
- hxxps[://]verifyhuman476[.]b-cdn[.]net/human-verify-system[.]html
- hxxps[://]newvideozones[.]click/veri[.]html
- hxxps[://]ch3[.]dlvideosfre[.]click/human-verify-system[.]html
- hxxps[://]newvideozones[.]click/veri[.]html
- hxxps[://]ofsetvideofre[.]click
Исследователи также заметили, что сети доставки контента (CDN) использовались для распространения этих поддельных страниц проверки. Кроме того, было обнаружено, что злоумышленники использовали кодировку base64 и манипуляции с буфером обмена, чтобы избежать демонстрации. Также возможно распространение других вредоносных программ с использованием той же техники, хотя такие случаи пока не наблюдались.
Поскольку modus operandi атаки основан на фишинговых методах, ни один патч безопасности не может предотвратить заражение устройств. Однако есть некоторые шаги, которые пользователи и организации могут предпринять для защиты от вредоносного ПО Lumma Stealer.
- Уязвимость Telegram позволяет хакерам отправлять вредоносное ПО в виде видео: отчет
Согласно отчету, пользователи и сотрудники должны быть осведомлены об этой тактике фишинга, чтобы помочь им не поддаться на нее. Кроме того, организации должны внедрять и поддерживать надежные решения для защиты конечных точек для обнаружения и блокировки атак на основе PowerShell. Кроме того, регулярное обновление и исправление систем для уменьшения уязвимостей, которые может использовать вредоносное ПО Lumma Stealer, также должно помочь.