Ocak ayında Netskope Threat Labs, Lumma Stealer kötü amaçlı yazılımını yaymak için sahte CAPTCHA sayfalarından yararlanan karmaşık bir küresel kötü amaçlı yazılım kampanyasını ortaya çıkardı.
En az 2022’den beri aktif olan bir hizmet olarak kötü amaçlı yazılım (MaaS) aracı olan Lumma, virüslü sistemlerden hassas bilgileri çalmak için tasarlandı.
Kampanya, aralarında Arjantin, Kolombiya, ABD ve Filipinler’in de bulunduğu birçok ülkedeki mağdurları hedef alıyor ve sağlık, bankacılık, pazarlama ve telekomünikasyon gibi sektörleri kapsıyor; ikincisi en çok etkilenen sektör.
Saldırganlar, Lumma Stealer için kırık yazılım, Discord’un İçerik Dağıtım Ağı (CDN) ve kötü amaçlı CAPTCHA sayfaları dahil olmak üzere çeşitli dağıtım yöntemleri kullanıyor.
Enfeksiyon zinciri, tespitten kaçınmak için süreç boşaltma ve PowerShell tek satırlıkları gibi gelişmiş teknikleri içerir.
Araştırmacılar yeni veriler, kötü amaçlı reklamcılık taktikleri kullanan web siteleri ve güvenlik kontrollerini atlatmak için kullanılan açık kaynak araçları tespit etti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Enfeksiyon Zinciri ve Sosyal Mühendislik
Bulaşma, kurbanların web tarayıcıları dışında belirli eylemleri gerçekleştirmelerini söyleyen sahte bir CAPTCHA sayfasına yönlendirilmeleri ile başlıyor.
Bu talimatlar arasında Windows Çalıştır iletişim kutusunun açılması (Windows+R aracılığıyla), pano içeriğinin yapıştırılması (CTRL+V) ve ENTER tuşuna basılarak çalıştırılması yer alır.
Bu dizi, kurbanın makinesine kötü amaçlı kod indirip çalıştırarak enfeksiyon zincirinin bir sonraki aşamasını tetikler.
Tarayıcı bağlamı dışında kullanıcı etkileşimi gerektiren bu yöntem, tarayıcı tabanlı siber güvenlik savunmalarını atlar.
Sahte CAPTCHA mekanizması, panoya kötü amaçlı bir komut eklemek için JavaScript’i kullanır.
Bu komut, uzak bir sunucudan bir HTA dosyasını indirmek ve yürütmek için genellikle arazide yaşama (LOLBIN) saldırılarında kötüye kullanılan meşru bir ikili dosya olan mshta.exe Windows aracından yararlanır.
İndirilen dosyalar genellikle zararsız dosya türleri (örn. .mp3 veya .accdb) gibi görünür ancak kötü amaçlı JavaScript parçacıkları içerir.
Bu parçacıklar yürütüldükten sonra, base64 kodlu verilerin kodunu çözmek ve kötü amaçlı yazılımın sonraki aşamalarını yürütmek için PowerShell’i kullanır.
Yük Yürütme
İkinci aşama, önceden tanımlanmış bir anahtarla XOR şifrelemesini kullanarak dizelerin gizliliğini kaldırma ve base64 verilerinin kodunu çözme gibi işlemleri gerçekleştiren, gizlenmiş büyük bir PowerShell betiğini içerir.
Bu komut dosyası sonuçta “clr.dll” modülüyle ilişkili belleği değiştirerek Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzü (AMSI) korumalarını atlayan başka bir PowerShell komut dosyasını çalıştırır.
Bu AMSI bypass’ı, belleğe yüklenen ve yansıtılarak yürütülen, Lumma Stealer’ı içeren bir Taşınabilir Yürütülebilir (PE) dosyası olan son yükün algılanmasını önler.
Saldırganlar ayrıca daha fazla gizleme için Babel gibi araçları da kullanıyor ve bu da analizi daha zorlu hale getiriyor.
Netskope araştırmacıları, bazı veri yüklerinin açık kaynaklı AMSI bypass uygulamalarını içerdiğini gözlemledi ve bu da saldırganların, kaçırma yeteneklerini geliştirmek için halka açık araçlardan nasıl yararlandığını ortaya çıkardı.
Lumma Stealer kampanyası, çeşitli dağıtım yöntemleri, yükler ve kaçınma teknikleri kullanarak uyarlanabilirliğini kanıtladı.
Tarayıcıların dışındaki kullanıcı etkileşimine bağlı olması, tespit çalışmalarına karmaşıklık katıyor.
Lumma Stealer, MaaS ekosistemi içinde gelişmeye devam ederken, kullanıcı etkileşimlerinden yararlanma ve güvenilir sistem ikili dosyalarını kötüye kullanma yeteneği, siber güvenlik savunmaları için önemli zorluklar teşkil ediyor.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri