Siber güvenlik araştırmacıları, kötü şöhretli Lumma bilgi hırsızını sunmak için sahte CAPTCHA doğrulama kontrollerinden yararlanan yeni bir kötü amaçlı yazılım kampanyasına dikkat çekiyor.
Netskope Tehdit Laboratuvarları kıdemli tehdit araştırma mühendisi Leandro Fróes, paylaşılan bir raporda şunları söyledi: “Kampanya küreseldir; Netskope Tehdit Laboratuvarları Arjantin, Kolombiya, ABD, Filipinler ve dünya çapındaki diğer ülkelerde hedeflenen kurbanları takip etmektedir.” Hacker Haberleri ile.
“Kampanya aynı zamanda sağlık hizmetleri, bankacılık ve pazarlama da dahil olmak üzere birçok sektörü kapsıyor ve telekom sektörü en fazla sayıda kuruluşun hedeflendiği sektör.”
Saldırı zinciri, kurbanın güvenliği ihlal edilmiş bir web sitesini ziyaret etmesiyle başlar ve bu site, site ziyaretçisine, indirmek ve yürütmek için yerel mshta.exe ikili dosyasını kullanan Windows’taki Çalıştır komut istemine bir komutu kopyalayıp yapıştırmasını özellikle bildiren sahte bir CAPTCHA sayfasına yönlendirir. uzak bir sunucudan bir HTA dosyası.
Yaygın olarak ClickFix olarak bilinen bu tekniğin önceki bir yinelemesinin, Lumma Stealer enfeksiyonunu tetiklemek için Base64 kodlu bir PowerShell betiğinin yürütülmesini içerdiğini belirtmekte fayda var.
HTA dosyası da bir sonraki aşama yükünü başlatmak için bir PowerShell komutunu çalıştırır; bu, Lumma yükünün kodunun çözülmesinden ve yüklenmesinden sorumlu ikinci bir PowerShell betiğinin paketini açan bir PowerShell betiğidir, ancak daha önce Windows Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü atlamak için adımlar atmaz ( AMSI) tespitten kaçınmak için.
Fróes, “Kurban, gerekli tüm adımları tarayıcı bağlamı dışında gerçekleştireceği için saldırgan, kötü amaçlı yazılımları bu şekilde indirip çalıştırarak tarayıcı tabanlı savunmalardan kaçınır” dedi.
“Lumma Stealer, hizmet olarak kötü amaçlı yazılım (MaaS) modelini kullanarak çalışıyor ve geçtiğimiz aylarda oldukça aktifti. Farklı dağıtım yöntemleri ve yükleri kullanarak, özellikle kullanıcıyı kötüye kullanırken bu tür tehditlerin tespitini ve engellenmesini daha karmaşık hale getiriyor. Sistem içindeki etkileşimler.”
Bu ay gibi yakın bir tarihte Lumma, Reddit ve WeTransfer’ı taklit eden ve kullanıcıları parola korumalı arşivleri indirmeye yönlendiren yaklaşık 1000 sahte alan adı aracılığıyla da dağıtıldı.
Sekoia araştırmacısı crep1x’e göre bu arşiv dosyaları, daha sonra hırsızı çalıştıran SelfAU3 Dropper adlı bir AutoIT dropper’ı içeriyor. 2023’ün başlarında tehdit aktörleri, Vidar Stealer kötü amaçlı yazılımını yaymak amacıyla AnyDesk kılığına giren 1.300’den fazla alanı harekete geçirmek için benzer bir teknikten yararlandı.
Bu gelişme, Barracuda Networks’ün Tycoon 2FA olarak bilinen Hizmet Olarak Kimlik Avı (PhaaS) araç setinin “güvenlik araçlarının kötü niyetli niyetini doğrulamaya yönelik girişimlerini engellemek, raydan çıkarmak ve başka şekilde engellemek için gelişmiş özellikler içeren güncellenmiş bir sürümünü ayrıntılı olarak açıklamasıyla birlikte geliyor.” web sayfalarını inceleyin.”
Bunlar arasında kimlik avı e-postaları göndermek için meşru – muhtemelen ele geçirilmiş – e-posta hesaplarının kullanılması ve otomatik güvenlik komut dosyalarının tespit edilmesi, web incelemesi öneren tuş vuruşlarının dinlenmesi ve sağ tıklama bağlam menüsünün devre dışı bırakılması yoluyla analizi önlemek için bir dizi adım atılması yer alır.
AT&T, Comcast, Eastlink, Infinity, Kojeko ve Proton Mail gibi çeşitli meşru hizmetleri taklit etmek için avatar sağlayıcısı Gravatar’dan yararlanan sosyal mühendislik odaklı kimlik bilgisi toplama saldırıları da gözlemlendi.
SlashNext Field CTO’su Stephen Kowski, “Saldırganlar, Gravatar’ın ‘Hizmet Olarak Profiller’ özelliğini kullanarak meşru hizmetleri taklit eden ikna edici sahte profiller oluşturuyor ve kullanıcıları kimlik bilgilerini ifşa etmeleri için kandırıyor.” dedi.
“Saldırganlar, genel kimlik avı girişimleri yerine sahte profillerini, sıklıkla bilinmeyen veya korunmayan hizmetler aracılığıyla yakından taklit ettikleri meşru hizmetlere benzeyecek şekilde uyarlıyor.”