Sophos, Eylül 2024’te tespit ve yanıtı (MDR) yönetti, kötü şöhretli Lumma Stealer kötü amaçlı yazılım, sofistike PowerShell araçları ve gelişmiş kaçakçılı taktikleri ile gelişti ve kullanıcıları aldatmak için sahte captcha sitelerden yararlandı.
2012 ortasından beri aktif ve varsayılan bir Rus geliştiricisi tarafından Hizmet Olarak Kötü Yazılım (MAAS) olarak sunulan Lumma Stealer, şifreler, oturum belirteçleri, kripto para cüzdanları ve kişisel bilgiler gibi hassas verileri hedefliyor.
Bu son kampanyayı özellikle sinsi yapan şey, sosyal mühendisliği kullanması, kötü niyetli PowerShell komutlarını yürütmek için Captcha zorluklarına kullanıcı güvenini kullanmasıdır ve genellikle yıkıcı veri hırsızlığına yol açar.
.png
)
Powershell güdümlü yükler
2024-25 sonbahar ve kış boyunca yapılan Sophos MDR araştırmaları, Lumma Stealer’ın teslimatının arkasındaki karmaşık mekaniği ortaya koyuyor.
Önde gelen bir saldırı vektörü, kullanıcıların kötü niyetli bir PowerShell komutunu Windows’un çalışma iletişim kutusuna veya komut satırı arabirimine yapıştırmasını sağlayan meşru Captcha doğrulama sayfalarına yönlendirilmesini içerir.
Sık sık gizlenmiş JavaScript’in arkasına gizlenmiş olan bu komut, daha sonra “ARTISTSPONSORFISHFISH.EXE” olarak gizlenmiş fermuarlı bir yükü indiren “Fırlatılmış bir yük yükü” gibi uzak bir sunucudan bir komut dosyasını alır.
Sophos Report’a göre, bu yürütülebilir uygulanabilir, gizlenmiş bir otomatik komut dosyası da dahil olmak üzere birden fazla dosyayı kullanıcının % Temp % dizinine bırakır.
Komut dosyası, krom giriş kimlik bilgileri ve çerezleri dahil olmak üzere çalıntı verileri yaymak için “Salyangoz-R1ced.Cyou” (IP 104.21.84.251) gibi komut ve kontrol (C2) sunucularına (IP 104.21.84.251) bağlanır.
Gözlenen bir durumda, sadece 6.37MB hassas veri dosyası, süreç kendi kendine feshedilmeden önce başarıyla iletildi.
Başka bir varyant, kullanıcıları aslında uzaktan barındırılan bir .lnk kısayolu olan sözde bir PDF dosyasını açmaya ve derinden gizlenmiş bir PowerShell komut dosyasını tetiklemeyi içerir.
Bu komut dosyası, CyberChef gibi AES şifreleme ve dinamik API çözünürlüğünü, %AppData %cinsinden Base64 kodlama ve aldatıcı dosya yolları katmanları aracılığıyla niyetini maskelerken daha fazla yükü indirmek için tasarlanmış taşınabilir bir yürütülebilir (PE) dosyasını ortaya çıkarır.
Bu kaçırma tekniklerinin karmaşıklığı.
Savunucular için artan bir tehdit manzarası
Lumma Stealer’ın teslimat yöntemlerinin uyarlanabilirliği, siber güvenlik savunucuları için önemli bir zorluk oluşturmaktadır.
Netskope tehdit laboratuvarlarından gelen raporlar, bu kampanyada yaklaşık 5.000 sahte captcha sitesinin aktif olabileceğini tahmin ederek tehdidin erişimini artırıyor.
Bununla birlikte, gelişen taktiklerle mücadele eden kullanıcı manipülasyonu, teknik gelişmişlikte güçlü uç nokta koruması ve kullanıcı eğitimine duyulan ihtiyaç.
Captcha istemlerine yıllarca süren kökleşmiş güven, göz korkutucu bir görevdir, ancak saldırganlar bu aşinalıktan yararlanmaya devam ettikçe çok önemlidir.
Lumma Stealer 2025’te yaygın bir tehdit olarak kaldıkça, kuruluşlar gelişmiş davranışsal analiz kullanmalı ve bu kurnaz infostealer’ın önünde kalmak için C2 iletişimi veya veri açığa çıkma belirtileri için ağ etkinliğini incelemelidir.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir