Lumma Infostealer’dan yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası, eğitim kurumlarını PDF belgeleri olarak gizlenmiş kötü amaçlı dosyaları dağıtmak için hedef alan tanımlanmıştır.
Bu kampanya, çok aşamalı bir enfeksiyon sürecini başlatarak meşru PDF’ler olarak maskelenen silahlandırılmış LNK (kısayol) dosyaları sunmak için tehlikeye atılmış okul altyapısı kullanıyor.
Hizmet olarak kötü amaçlı yazılım (MAAS) teklifi olan Lumma Infostealer, şifreler, tarayıcı bilgileri ve kripto para birimi cüzdan kimlik bilgileri gibi hassas verileri yaymak için tasarlanmıştır.
Birincil enfeksiyon vektörü, okul ücreti yapıları gibi rutin belgeler gibi görünen dosyaları indiren kullanıcıları içerir.
Ancak, bu dosyalar bir WebDAV sunucusunda barındırılan kötü amaçlı LNK dosyalarıdır.
Yürütüldüğünde, LNK dosyaları PowerShell komutlarını ve meşru yürütülebilir ürünleri içeren bir olay zincirini tetikler mshta.exeLumma kötü amaçlı yazılımları indirmek ve dağıtmak için kullanılmıştır.
Bu, tehdit aktörleri tarafından güvenlik önlemlerini atlamak ve kullanıcıları aldatmak için kullanılan kimlik avı taktiklerinin artan karmaşıklığını vurgulamaktadır.
Gelişmiş Kırılma Teknikleri
Lumma Infostealer, algılamayı önlemek için gizlenmiş JavaScript ve şifreli yükler de dahil olmak üzere gelişmiş kaçırma tekniklerini kullanır.
Özellikle, buhar profilleri gibi güvenilir platformlardan yararlanarak alışılmadık komut ve kontrol (C2) iletişim yöntemlerini kullanır.
CloudSek raporuna göre, bu yaklaşım kötü amaçlı yazılımların operatörleriyle iletişimi sürdürürken faaliyetlerini gizlemesine izin verir.
Örneğin, kötü amaçlı yazılım, Sezar Cipher gibi şifre çözme algoritmaları kullanarak şifreli C2 alanlarını çıkarmak için buhar profili sayfalarını ayrıştırır.
Dağıtarıldıktan sonra Lumma Infostealer, belirli dosya formatlarında saklanan veya “cüzdan”, “şifre” veya “bitcoin” gibi anahtar kelimeler içeren hassas veriler için tehlikeye atılmış sistemleri tarar.
Finans, sağlık, teknoloji ve medya dahil olmak üzere eğitimin ötesindeki endüstrileri hedeflemektedir.
Kötü amaçlı yazılımların, kripto para birimi cüzdanlarından, tarayıcı uzantılarından ve e -posta istemcilerinden verileri dışarı atma yeteneği, geniş kapsamının ve önemli finansal ve itibar hasarı potansiyelinin altını çizmektedir.
Sağlam siber güvenlik önlemlerine acil ihtiyaç
Eğitim kurumlarının kötü amaçlı yazılım için bir dağıtım kanalı olarak kullanılması, organizasyonel siber güvenlik çerçevelerindeki güvenlik açıklarını vurgulamaktadır.
Tehdit aktörleri, ağlara sızmak ve kötü niyetli yükleri yaymak için bu zayıflıklardan yararlanır.
Lumma kampanyası, çalışanların farkındalık eğitimi, düzenli güvenlik denetimleri ve gelişmiş tehdit algılama sistemleri gibi proaktif önlemlerin önemini vurgulamaktadır.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, kuruluşlar Lumma Infostealer gibi sofistike kötü amaçlı yazılım kampanyalarıyla ilişkili riskleri azaltmak için çok katmanlı bir savunma stratejisi benimsemelidir.
Ağ trafiğinin gelişmiş izlenmesi ve uç nokta koruma çözümlerinin dağıtılması, onarılamaz zararlara neden olmadan önce tehditlerin tanımlanmasına ve etkisiz hale getirilmesine yardımcı olabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free