Siber güvenlik araştırmacıları, kötü şöhretli Lumma Stealer kötü amaçlı yazılımları şüpheli kurbanlara sunan karmaşık “Click Fix” stil dağıtım kampanyalarını izlemeye devam ediyor.
Başlangıçta Unit42 araştırmacıları Billy Melicher ve Nabeel Mohamed tarafından belgelenen bu giderek artan sofistike taktikler, kullanıcıları kötü niyetli Powershell senaryolarını yürütmeye yönlendiren sosyal mühendislik tekniklerini kullanıyor ve sonuçta bu tehlikeli bilgi çalan kötü amaçlı yazılımların konuşlandırılmasına yol açıyor.
Stealer lum
Lummac2 Stealer olarak da bilinen Lumma Stealer, en azından Ağustos 2022’den beri Rusça konuşan yeraltı forumlarında mevcut olan bir Hizmet Olarak Kötü Yazılım (MAAS) modeli altında çalışan güçlü bir bilgi çalan kötü amaçlı yazılımdır.
“Shamel” ve “Lumma” takma adlarını kullanan bir tehdit oyuncusu tarafından geliştirilen bu sofistike C-dili kötü amaçlı yazılım, kripto para birimi cüzdanları, web tarayıcısı bilgileri, e-posta kimlik bilgileri, finansal veriler ve hassas dosyalar da dahil olmak üzere uzlaşmış sistemlerde çok çeşitli hassas verileri hedefler.
Kötü amaçlı yazılım, son sürümler yapılandırma şifresini çözme için ChaCha20 şifresini uygulayarak, geliştiricilerin analiz araçlarını ve algılama mekanizmalarına olan bağlılığını gösteren dikkate değer bir uyarlanabilirlik göstermiştir.
“Click Fix” dağıtım yöntemi, ilk olarak 2024’te belgelenen özellikle sinsi bir sosyal mühendislik tekniğini temsil etmektedir.
Bu yöntem, görünüşte meşru doğrulama arayüzleriyle etkileşime girdiklerinde kurbanın panosuna kötü amaçlı kod ekleyen web sayfaları oluşturur.
Teknik psikolojik manipülasyonu için öne çıkıyor: geleneksel kötü niyetli indirmelere güvenmek yerine, kullanıcılara ön yüklü kötü amaçlı kodları çalışma istemine yapıştırmalarını (Windows+R ile erişildi), kurbanları kendi enfeksiyonuna kandırıyor.
Gelişen “Fix” dağıtım taktikleri
Siber Güvenlik Haberleri Teknik Analizine göre, bu yaklaşım, komut dosyalarını panoya ekleyen web sayfalarını içerir ve kullanıcıları çalışma iletişim kutusuna yapıştırmalarını ister.
Örneğin, Google sitelerinde barındırılan sahte bir Google Meet sayfası, kullanıcılara bir PowerShell komutunu yürüterek hesaplarını doğrulamalarını öğretti.
Bu komut “TLGRM-Regrect[.]YBÜ/1.TXT, ”karmaşık bir enfeksiyon zincirinin başlatılması.
Başka bir kampanya “Windows-update’de sahte bir Windows güncelleme sitesi içeriyordu[.]Site, ”kullanıcılardan, kötü amaçlı bir yük yükü“ aşırı katlanacak şekilde[.]mağaza.”
Teknik analiz perspektifinden bakıldığında, son kampanyalar belirli kötü amaçlı dosyaları içermiştir.
These include a PowerShell script (SHA256: 909ed8a1351f9a21ebdd5d8efb4147145f12d5d24225dbd44cd2800a1f94a596) and a zip archive (SHA256: 0608775a345c5a0869418ffddd1f694cb888fe8acde6d34543516db1a01e3ef8) containing Lumma Stealer components.Bu yaklaşım, saldırganların kurumsal güvenlik duvarlarını atlamasına ve potansiyel kurbanlar için yanlış bir güvenlik duygusu sürdürmesine olanak tanır.
Mağdurlar, yükleri indirip yürüten PowerShell komutlarını yürütme konusunda kandırılır. Bu komut dosyaları genellikle baz64 kodlu verileri içerir, bu da belirli izleme araçları olmadan tespit edilmelerini zorlaştırır.
Saldırganlar, kötü niyetli DLL’lerin yan yüklenmesi için tuzak dosyaları ve meşru yürütülebilir ürünler içeren zip arşivleri kullanır.
Bu teknik mükemmel kamuflaj sağlar, çünkü işlem meşru görünürken, kötü niyetli aktivite yandan yüklü DLL’den gerçekleşir.
Kötü amaçlı yazılım, “Web Security3[.]com, ”” codxefusion[.]üst, ”” Techspherxe[.]Üst ”ve“ Farmingtzricks[.]tepe.”
Bu alanlar, kötü amaçlı yazılımların çalışmasında önemli bir rol oynar ve veri açığa çıkmasını ve komut yürütmeyi kolaylaştırır.
Lumma Stealer’ın gelişen taktikleri, sofistike kötü amaçlı yazılım kampanyalarına karşı savunmanın devam eden zorluğunu vurgulamaktadır.
Saldırganlar, sosyal mühendisliği teknik kaçırma teknikleriyle birleştirerek, geleneksel güvenlik kontrollerini başarılı bir şekilde atlamaya devam ediyor.
Organizasyonlar, bu ortaya çıkan taktikler hakkında farkındalığı korumalı ve Lumma Stealer ile ilişkili riskleri azaltmak için savunma stratejilerini buna göre uyarlamalıdır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!