Siber güvenlik araştırmacıları, kötü şöhretli Lumma bilgi hırsızını sunmak için sahte CAPTCHA doğrulama kontrollerinden yararlanan yeni bir kötü amaçlı yazılım kampanyasına dikkat çekiyor.
Netskope Tehdit Laboratuvarları kıdemli tehdit araştırma mühendisi Leandro Fróes, “Kampanya küresel; Netskope Tehdit Laboratuvarları Arjantin, Kolombiya, Amerika Birleşik Devletleri, Filipinler ve dünyanın diğer ülkelerinde hedeflenen kurbanları takip ediyor” dedi. rapor The Hacker News ile paylaşıldı.
“Kampanya aynı zamanda sağlık hizmetleri, bankacılık ve pazarlama da dahil olmak üzere birçok sektörü kapsıyor ve telekom sektörü en fazla sayıda kuruluşun hedeflendiği sektör.”
Saldırı zinciri, kurbanın güvenliği ihlal edilmiş bir web sitesini ziyaret etmesiyle başlar ve bu site, site ziyaretçisine, indirmek ve yürütmek için yerel mshta.exe ikili dosyasını kullanan Windows’taki Çalıştır komut istemine bir komutu kopyalayıp yapıştırmasını özellikle bildiren sahte bir CAPTCHA sayfasına yönlendirir. uzak bir sunucudan bir HTA dosyası.
Bu tekniğin daha önceki bir tekrarının, yaygın olarak olarak bilinir TıklaDüzeltLumma Stealer enfeksiyonunu tetiklemek için Base64 kodlu bir PowerShell betiğinin yürütülmesini içeriyordu.
HTA dosyası da bir sonraki aşama yükünü başlatmak için bir PowerShell komutunu çalıştırır; bu, Lumma yükünün kodunun çözülmesinden ve yüklenmesinden sorumlu ikinci bir PowerShell betiğinin paketini açan bir PowerShell betiğidir, ancak daha önce Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü atlamak için adımlar atmaz ( AMSI) tespitten kaçınmak için.
Fróes, “Kurban, gerekli tüm adımları tarayıcı bağlamı dışında gerçekleştireceği için saldırgan, kötü amaçlı yazılımları bu şekilde indirip çalıştırarak tarayıcı tabanlı savunmalardan kaçınır” dedi.
“Lumma Stealer, hizmet olarak kötü amaçlı yazılım (MaaS) modelini kullanarak çalışıyor ve geçtiğimiz aylarda oldukça aktifti. Farklı dağıtım yöntemleri ve yükleri kullanarak, özellikle kullanıcıyı kötüye kullanırken bu tür tehditlerin tespitini ve engellenmesini daha karmaşık hale getiriyor. Sistem içindeki etkileşimler.”
Bu ay gibi yakın bir tarihte Lumma, Reddit ve WeTransfer’ı taklit eden ve kullanıcıları parola korumalı arşivleri indirmeye yönlendiren yaklaşık 1000 sahte alan adı aracılığıyla da dağıtıldı.
Bu arşiv dosyaları, daha sonra hırsızı çalıştıran SelfAU3 Dropper adlı bir AutoIT dropper içerir. binaen Sekoia araştırmacısı crep1x’e. 2023’ün başlarında tehdit aktörleri kaldıraçlı Vidar Stealer kötü amaçlı yazılımını yaymak için AnyDesk kılığına giren 1.300’den fazla alanı döndürmek için benzer bir teknik.
Gelişme Barracuda Networks olarak geliyor ayrıntılı Tycoon 2FA olarak bilinen Hizmet Olarak Kimlik Avı (PhaaS) araç setinin güncellenmiş bir sürümü olup, “güvenlik araçlarının kötü niyetli niyetini doğrulamaya ve web sayfalarını incelemeye yönelik girişimlerini engellemek, raydan çıkarmak ve başka şekilde engellemek” için gelişmiş özellikler içerir.
Bunlar arasında kimlik avı e-postaları göndermek için meşru – muhtemelen ele geçirilmiş – e-posta hesaplarının kullanılması ve otomatik güvenlik komut dosyalarının tespit edilmesi, web incelemesi öneren tuş vuruşlarının dinlenmesi ve sağ tıklama içerik menüsünün devre dışı bırakılması yoluyla analizi önlemek için bir dizi adım atılması yer alır.
AT&T, Comcast, Eastlink, Infinity, Kojeko ve Proton Mail gibi çeşitli meşru hizmetleri taklit etmek için avatar sağlayıcısı Gravatar’dan yararlanan sosyal mühendislik odaklı kimlik bilgisi toplama saldırıları da gözlemlendi.
SlashNext Field CTO’su Stephen Kowski, “Saldırganlar, Gravatar’ın ‘Hizmet Olarak Profiller’ özelliğini kullanarak meşru hizmetleri taklit eden ikna edici sahte profiller oluşturuyor ve kullanıcıları kimlik bilgilerini ifşa etmeleri için kandırıyor.” söz konusu.
“Saldırganlar, genel kimlik avı girişimleri yerine sahte profillerini, sıklıkla bilinmeyen veya korunmayan hizmetler aracılığıyla yakından taklit ettikleri meşru hizmetlere benzeyecek şekilde uyarlıyor.”
