Siber suçlular, sahte rezervasyon web siteleri aracılığıyla gezginleri hedefleyen yeni bir sofistike saldırı kampanyası başlattı.
2025’in başlarında keşfedilen kampanya, kullanıcıları aldatıcı captcha doğrulama süreçleri aracılığıyla Lummastealer kötü amaçlı yazılımları yüklemeye, kişisel ve finansal bilgileri riske atıyor.
Saldırı, şüphesiz kurbanlar meşru bir rezervasyon onay sayfası gibi görünen şeyi ziyaret ettiğinde başlar.
Rezervasyon ayrıntılarını izlemeden önce, kullanıcılar “Ben Robot Değilim” onay kutusunu tıklamalarını gerektiren bir Captcha doğrulamasıyla karşılaşır.
.webp)
Meşru captcha sistemlerinden farklı olarak, bu hileli doğrulama, kullanıcılara Windows Run komutunu açmalarını ve önceden kaplanmış bir komutu yapıştırmalarını söyler.
G Veri analistleri, bu saldırının başlangıçta Filipinler, Palawan’a seyahat rezervasyonu yapan gezginleri hedeflediğini, ancak daha sonra Almanya’nın Münih’teki otel rezervasyonlarını hedeflemeye geçerek küresel bir kampanyayı gösterdiğini belirledi.
Araştırmacılar, bunun Lummastealer’ın dağıtım stratejisinde daha önce öncelikle GitHub veya telgraf kanallarına dayanan önemli bir değişikliği temsil ettiğini belirtti.
Kullanıcılar aldatıcı talimatları izlediklerinde, bilmeden enfeksiyon zincirini başlatan bir PowerShell komutu yürütürler.
Komut, Lummastealer yükünü saldırganın sunucusundan indiren ve kurbanın sisteminde yürütürken, kullanıcı yürütmeyi başlattığından beri geleneksel güvenlik önlemlerini atlayan baz64 kodlu bir komut dosyası çalıştırır.
.webp)
Tüm enfeksiyon zinciri, sonuçta hizmet olarak kötü amaçlı yazılım modeli altında çalışan bilgi çalan bir kötü amaçlı yazılım olan Lummastealer’ın kurulmasına yol açan dört farklı aşamadan oluşur.
Teknik enfeksiyon süreci
Soruşturma sırasında toplanan kötü amaçlı yazılım örnekleri, önceki sürümlerden özellikle daha büyüktür ve% 350’ye kadar artar (2MB’den 9MB’ye).
Bu boyut artışı, kötü amaçlı yazılım yazarlarının dosya boyutunu genişletmek ve potansiyel olarak güvenlik araçları tarafından algılanmaktan kaçınmak için önemsiz veriler ekledikleri ikili dolgu olarak bilinen bir kaçış tekniği olarak hizmet eder.
Kötü amaçlı yazılım ayrıca, doğrudan atlamalar veya çağrılar kullanmak yerine çalışma zamanındaki hedef adresleri dinamik olarak hesaplamak için dispatcher bloklarını kullanan dolaylı kontrol akışı adı verilen bir gizleme tekniği kullanır ve analizi önemli ölçüde daha zor hale getirir.
.webp)
Uygulama, şifre çözüldüğünde, baz 64 kodlu komutları kurbanın panosuna kopyalayan JavaScript’i ortaya çıkaran ROT13 ile şifrelenmiş gizlenmiş PHP komut dosyalarını içerir.
Yürütüldüğünde, bu komutlar Lummastealer yükünü indirir ve çalıştırır, bu da daha sonra tehlikeye atılan sistemden hassas bilgileri toplar.
Güvenlik araştırmacıları, Lummastealer saldırılarının önümüzdeki aylarda artmaya devam etmesini bekliyorlar, çünkü saldırganlar sosyal mühendislik tekniklerini çevrimiçi rezervasyon hizmetleri arayan yolcuları kullanmak için geliştiriyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free