Siber güvenlik araştırmacıları, Lumma Stealer Malware’i sunmak için WebFlow’un İçerik Dağıtım Ağı’nda (CDN) barındırılan PDF belgeleri aracılığıyla paylaşılan sahte Captcha görüntülerini kullanan yaygın bir kimlik avı kampanyası ortaya çıkardılar.
Netskope Tehdit Labs, kurbanları kötü amaçlı web sitelerine yönlendiren 5.000 kimlik avı PDF dosyasına ev sahipliği yapan 260 benzersiz alan keşfettiğini söyledi.
Güvenlik araştırmacısı Jan Michael Alcantara, Hacker News ile paylaşılan bir raporda, “Saldırgan, kötü niyetli arama motoru sonuçlarını tıklayarak kurbanları sayfaları ziyaret etmek için kandırmak için SEO kullanıyor.” Dedi.
“Çoğu kimlik avı sayfası kredi kartı bilgilerini çalmaya odaklanırken, bazı PDF dosyaları kurbanları kötü niyetli PowerShell komutları yürütmeye yönlendiren sahte captchas içerir ve sonuçta Lumma Stealer kötü amaçlı yazılımlara yol açar.”
Kimlik avı kampanyasının, 2024’ün ikinci yarısından bu yana 1.150’den fazla kuruluşu ve 7.000’den fazla kullanıcıyı etkilediği tahmin ediliyor ve saldırılar öncelikle Kuzey Amerika, Asya ve Güney Avrupa’daki kurbanları teknoloji, finansal hizmetler ve üretim sektörlerinde seçiyor.
Sahte PDF’lere ev sahipliği yaptığı tespit edilen 260 alandan çoğunluğu web akışıyla ilgilidir, bunu Godaddy, çarpıcı, wix ve hızlı bir şekilde ilişkilidir.
Saldırganlar ayrıca PDF dosyalarının bir kısmını meşru çevrimiçi kütüphanelere ve PDFCOFFEE, PDF4PRO, PDFBean ve İnternet arşivi gibi PDF depolarına yüklerken gözlemlenmiştir, böylece arama motorlarında PDF belgeleri arayan kullanıcılar onlara yönlendirilir.
PDF’ler, kredi kartı bilgilerini çalmak için bir kanal görevi gören hileli captcha görüntüleri içerir. Alternatif olarak, Lumma Stealer dağıtanlar, tıklandığında kurbanı kötü amaçlı bir siteye götüren belgeyi indirmek için resimler içerir.
Site, kurbanı bir PowerShell komut dosyası aracılığıyla çalan kötü amaçlı yazılımları yürüten bir MSHTA komutunu çalıştırmak için ClickFix tekniğini kullanan sahte bir Captcha doğrulama sayfası olarak maskeleniyor.
Son haftalarda, Lumma Stealer, Roblox oyunları ve Windows için toplam komutan aracının çatlak bir versiyonu olarak gizlendi ve çeşitli tehdit aktörleri tarafından benimsenen sayısız dağıtım mekanizmalarını vurguladı. Kullanıcılar bu web sitelerine, daha önce uzlaşmış hesaplardan yüklenen YouTube videoları aracılığıyla yönlendirilir.
“Kötü niyetli bağlantılar ve enfekte dosyalar genellikle gizlenir [YouTube videos, comments, or descriptions,” Silent Push said. “Exercising caution and being skeptical of unverified sources when interacting with YouTube content, especially when prompted to download or click on links, can help protect against these growing threats.”
The cybersecurity company further found that Lumma Stealer logs are being shared for free on a relatively new hacking forum called Leaky[.]Aralık 2024’ün sonlarında faaliyete geçen profesyonel.
Lumma Stealer, hizmet olarak kötü amaçlı yazılım (MAAS) modeli altında satışa sunulan ve tehlikeye atılan Windows ana bilgisayarlarından çok çeşitli bilgileri hasat etmek için bir yol veren tam özellikli bir Cileware çözümüdür. 2024’ün başlarında, kötü amaçlı yazılım operatörleri Ghostsocks adlı Golang tabanlı bir proxy kötü amaçlı yazılımla entegrasyon duyurdu.
Infrawatch, “Mevcut Lumma enfeksiyonlarına veya bu konudaki herhangi bir kötü amaçlı yazılım için bir SOCKS5 geri bağlantı özelliğinin eklenmesi, tehdit aktörleri için oldukça kazançlıdır.” Dedi.
“Mağdurların internet bağlantılarından yararlanarak, saldırganlar coğrafi kısıtlamaları ve IP tabanlı bütünlük kontrollerini, özellikle finansal kurumlar ve diğer yüksek değerli hedefler tarafından uygulananlar, bu yetenek, infostaler logs yoluyla hasat edilen kimlik bilgileri kullanılarak yetkisiz erişim denemeleri kullanılarak başarı olasılığını önemli ölçüde artırabilir ve daha da arttırır.
Zscaler tehdidi ve esentire’e göre, açıklamalar VIDAR ve Atomic MacOS Stealer (AMOS) gibi Stealer kötü amaçlı yazılımlar olarak gelir.
Kimlik avı saldırıları, ilk olarak Ekim 2024’te belgelenen bir teknik olan ikili değerleri temsil etmek için görünmez Unicode karakterlerini kullanan bir JavaScript gizleme yöntemini kötüye kullanan tespit edildi.
Yaklaşım, Unicode dolgu karakterlerinin, özellikle Hangul Yarı genişliği (U+FFA0) ve Hangul tam genişliği (U+3164), sırasıyla 0 ve 1 ikili değerlerini temsil etmek ve javascript yükündeki her ASCII karakterini hangul eşdeğerlerine dönüştürmeyi gerektirir.
Juniper Tehdit Labs, “Halka açık olmayan bilgiler de dahil olmak üzere saldırılar son derece kişiselleştirildi ve ilk JavaScript, analiz ediliyorsa bir hata ayıklayıcı kesme noktası çağırmaya çalışacak, bir gecikme tespit edecek ve daha sonra iyi huylu bir web sitesine yönlendirerek saldırıyı iptal edecek.” Dedi.