G Veri’deki siber güvenlik araştırmacıları, Lummastealer kötü amaçlı yazılımları aldatıcı captcha istemleri yoluyla sunmak için sahte rezervasyon web sitelerini kullanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Ocak 2025’te keşfedilen bu yeni saldırı vektörü, Lummastealer’ın dağıtım yöntemlerinde önemli bir değişime işaret ediyor ve GitHub ve telgraf gibi geleneksel kanallardan kötüverizasyon tekniklerine geçiyor.
Enfeksiyon zinciri, şüphesiz kullanıcılar bir ödeme onay sayfası olarak maskelenen kötü amaçlı bir URL’yi ziyaret ettiklerinde başlar.
Bu sayfa, hileli bir Captcha doğrulama sürecine sahip sahte bir rezervasyon güzergahına yönlendirilmektedir.
Meşru captchas’ın aksine, bu sürüm kullanıcılara bir Windows Run komutunu yürütmelerini söyler ve bilmeden kötü amaçlı yazılım indirmesini başlatır.
Karmaşık enfeksiyon zinciri güvenlik önlemlerini atlar
Saldırı, tespitten kaçınmak için çok aşamalı bir enfeksiyon süreci kullanır.
ROT13 ile şifrelenmiş gizlenmiş bir PHP komut dosyası, kullanıcının panosuna Base64 kodlu bir PowerShell komutu enjekte eder.
Yürütüldüğünde, bu komut nihayetinde Lummastealer yükünü indirip çalıştıran bir dizi eylemi tetikler.
Özellikle, bu kampanyadaki Lummastealer örnekleri önceki sürümlerden önemli ölçüde daha büyüktür ve boyut olarak%350’ye kadar artmaktadır.
Bu enflasyon, kötü amaçlı dosyaya önemsiz veri ekleyen bir teknik olan ikili dolgu ile elde edilir.
Bu yaklaşım, güvenlik araçlarında dosya boyutu sınırlamalarını atlatmayı ve gecikme analizini atlatmayı ve imza tabanlı antivirüs tespitlerinin etkinliğini potansiyel olarak azaltmayı amaçlamaktadır.
Küresel erişim ve gelişen taktikler
Kampanya, Filipinler ve Almanya gibi ülkelerde gözlenen hedefleri olan küresel bir kapsamı göstermektedir.
Araştırmacılar, saldırının coğrafi odağının zamanla değiştiğini ve tehdit aktörlerinin hedefleme stratejisinin genişlemesini önerdiğini belirtti.
Lummastealer, analizi ve tersine mühendislik çabalarını karmaşıklaştırmak için dolaylı kontrol akışı ve dispatch blokları dahil olmak üzere sofistike gizleme teknikleri kullanmaya devam ediyor.
Bu yöntemler, çalışma zamanındaki hedef adresleri dinamik olarak hesaplar ve güvenlik araştırmacılarının kötü amaçlı yazılımların yürütme yolunu izlemesini zorlaştırır.
Lummastealer yeni dağıtım taktiklerini benimsediğinden ve kaçınma tekniklerini geliştirirken, siber güvenlik uzmanları önümüzdeki aylarda devam eden yaygınlığını öngörüyor.
Bu kampanyanın arkasındaki tehdit aktörleri, başarı şanslarını en üst düzeye çıkarmak için ClickFix gibi ortaya çıkan sosyal mühendislik tekniklerinden yararlanarak hızlı bir şekilde adapte olma yeteneklerini gösterdiler.
Kullanıcılara, rezervasyon web siteleriyle etkileşime girerken dikkatli olmaları ve sistem düzeyinde eylemler talep eden olağandışı Captcha doğrulama süreçlerine özellikle dikkat etmeleri tavsiye edilir.
Her zaman olduğu gibi, güncel güvenlik yazılımlarını korumak ve iyi dijital hijyen uygulamak, gelişen siber tehditlere karşı savunmada çok önemlidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free