Lummastealer kötü amaçlı yazılımları yaymak için rezervasyon web sitelerini hedefleyen sofistike bir siber saldırı ortaya çıktı.
Bu kampanya, kullanıcıları sistemlerinde kötü niyetli komutlar yürütmeye kandırmak için sahte captcha istemlerinden ve sosyal mühendislik tekniklerinden yararlanır.
Hizmet olarak kötü amaçlı yazılım (MAAS) modeli altında faaliyet gösteren bir info-stealer kötü amaçlı yazılım olan Lummastealer, çok yönlülüğü ve küresel erişimi için dikkat çekiyor.
Enfeksiyon zinciri ve teknikleri
Saldırı, kullanıcıları Booking.com gibi meşru rezervasyon platformlarını taklit eden bir web sayfasına yönlendiren sahte bir rezervasyon onay bağlantısı ile başlar.
Bu sayfa, kullanıcılara Windows Run iletişim kutusu aracılığıyla bir PowerShell komutunu yürütmelerini söyleyen sahte bir Captcha doğrulama istemini görüntüler.
ClickFix olarak bilinen bu teknik, kullanıcıları sistemlerinden ödün vermek için kandırmak için sahte hata mesajlarını görüntülemeyi içerir.
PowerShell komutu, sahte rezervasyon web sitesi URL’sinden baz64 kodlu bir yük alır ve daha sonra Lummastealer kötü amaçlı yazılımını indirir ve yürütür.
İlgili kötü amaçlı yazılım örnekleri, genellikle tespitten kaçınmak için meşru yükleyiciler olarak gizlenen önceki sürümlerden önemli ölçüde daha büyüktür.
Enfeksiyon zinciri, bir Captcha istemine sahip bir rezervasyon güzergahı sayfasına yol açan sahte bir ödeme onay URL’sinden başlayarak birden fazla aşama içerir.
Gizli bir PHP komut dosyası, bir PowerShell komut dosyasını, yürütüldüğünde kötü amaçlı yazılım yükünü indiren kullanıcının panosuna kopyalar.
ROT13 şifreleme ve Base64 kodlama kullanımı, saldırıya karmaşıklık katar ve güvenlik araçlarının tespit edilmesini zorlaştırır.
Küresel etki ve evrim
Rapora göre, bu kampanya, Filipinler ve Almanya gibi ülkelerde bildirilen vakalarla dünya çapında kullanıcıları hedefleyen gözlemlendi.
Rezervasyon web sitelerini hedeflemedeki değişim, daha önce GitHub ve Telegram gibi platformlara yayılmış olan Lummastealer için yeni bir yaklaşımı işaret ediyor.
Kötü amaçlı yazılım, tespitten kaçınmak için dolaylı kontrol akışı ve ikili dolgu dahil olmak üzere gelişmiş gizleme teknikleri kullanır.
Bu teknikler analizi daha zor hale getirir ve imza tabanlı antivirüs yanıtlarını geciktirebilir.
Siber tehditler gelişmeye devam ettikçe, Lummastealer’ın yeni vektörleri uyarlama ve kullanma yeteneği siber güvenlik çabaları için önemli bir zorluk oluşturmaktadır.
ClickFix gibi sosyal mühendislik taktiklerinin kullanılması, kullanıcı farkındalığının ve bu tür saldırıları önlemede uyanıklığın öneminin altını çizmektedir.
Artan yaygınlığı ve sofistike yöntemleri ile Lummastealer’ın önümüzdeki aylarda büyük bir tehdit olarak kalması bekleniyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.