LummaC2 olarak da bilinen Lumma Stealer, ilk kez 2022’de ortaya çıkan, yaygın olarak bilinen bir kötü amaçlı yazılımdır. O zamandan bu yana, hassas bilgileri çalma tekniklerini geliştirerek istikrarlı bir şekilde gelişti.
Lumma Stealer, tarayıcıda saklanan şifreler, kripto para cüzdanları ve diğer değerli bilgiler dahil olmak üzere çok çeşitli kimlik bilgilerini hedefler.
En yeni taktiklerinden biri, sahte CAPTCHA sayfalarını, kullanıcıları kötü amaçlı yazılımı çalıştırmaya ikna etmek için kılık değiştirerek kullanmak ve bu da onu siber güvenlik ortamında kalıcı ve tehlikeli bir tehdit haline getirmektir.
Lumma Stealer Neyi Hedefliyor?
Lumma Stealer saldırılarının hedefleri genellikle farklılık gösterir ancak bu kötü amaçlı yazılımın ana hedeflerinden bazıları şunlardır:
- Kripto para cüzdanları: Özel anahtarları ve cüzdan kimlik bilgilerini çalarak kripto kullanıcıları için önemli bir tehdit haline gelir.
- Tarayıcı verileri: Tarayıcıda saklanan şifreleri, çerezleri ve tarama geçmişini toplayarak saldırganların hesaplara ve kişisel bilgilere kolay erişmesini sağlar.
- Kredi kartı bilgileri: Saklanan kredi kartı ayrıntılarını tarayıcı uzantılarından ve form otomatik doldurma verilerinden çıkarır.
- İki Faktörlü Kimlik Doğrulama (2FA): Kimlik doğrulama belirteçlerini ve yedek kodları ele geçirerek 2FA’yı atlamaya çalışır ve saldırganların hesaplara yetkisiz erişim elde etmesine olanak tanır.
Lumma Stealer’ın Teknik Yetenekleri ve İşlevleri
Lumma Stealer, siber suçlulara çeşitli gelişmiş işlevler sağlayarak onu bilgi hırsızlığı ve daha fazla istismar için etkili bir araç haline getiriyor. Temel özellikler şunları içerir:
- Veri sızması: Kimlik bilgilerine, finansal bilgilere ve kişisel verilere odaklanarak tarayıcılardan, kripto para cüzdanlarından ve uygulamalardan hassas verileri çıkarır.
- Otomatik güncellemeler: Lumma Stealer, kaçınma tekniklerini geliştirmek ve yeni yetenekler sunmak için Komuta ve Kontrol (C2) sunucularından düzenli güncellemeler alıyor.
- Veri kaydı: Hırsız, daha fazla yararlanmak için virüslü sistemlerden, tarayıcı verileri ve pano içeriği de dahil olmak üzere günlükleri derler.
- Yükleyici kapasitesi: Bir yükleyici görevi görerek ek kötü amaçlı yazılımların düşmesini sağlar ve saldırı vektörünü fidye yazılımlarını veya truva atlarını içerecek şekilde genişletir.
Linux ve Windows VM’lerindeki Kötü Amaçlı Yazılımları Analiz Edin
Kayıt ol Ücretsiz ANY.RUN hesabı Etkileşimli kötü amaçlı yazılım analizine sınırsız erişim.
Her türlü tehdidi kolaylıkla araştırın.
Son Saldırılarda Lumma Stealer Tarafından İstismar Edilen Sahte CAPTCHA Sayfaları
Lumma Stealer, kimlik avı e-postaları, kötü amaçlı indirmeler ve yararlanma kitleri dahil olmak üzere birden fazla dağıtım yöntemi kullanıyor.
Bununla birlikte, daha yeni ve aldatıcı taktiklerden biri, kullanıcıları kötü amaçlı komut dosyalarını çalıştırmaları için kandırmak üzere tasarlanmış sahte CAPTCHA sayfalarının kullanılmasını içerir.
Bu yöntemin, kullanıcıların genellikle insan kimliğini doğrulamak için meşru güvenlik kontrolleri olarak görülen CAPTCHA zorluklarına duyduğu güveni istismar etmesi nedeniyle saldırganlar için oldukça etkili olduğu kanıtlandı.
Yakın zamanda gözlemlenen bir kampanyada ANY.RUN’un kötü amaçlı yazılım korumalı alanıkurbanlardan var olmayan görüntüleme hatalarını “düzeltmek” veya bot olmadıklarını kanıtlamak için bir CAPTCHA doldurmaları istendi.
Ancak çözüm olarak kötü amaçlı bir komut dosyası gizlendi. Kurbana WIN+R (Çalıştır) işlevi aracılığıyla bir PowerShell betiğini kopyalayıp çalıştırması talimatı verildi. Bu durum doğrudan sistemin Lumma Stealer tarafından ele geçirilmesine yol açtı.
Bir göz atın korumalı alan oturumu bu saldırıyı ayrıntılı olarak gösteriyor.
Korumalı alan, saldırganların potansiyel kurbanları, mevcut sorunu çözmek için bilgisayarlarında belirli bir komut dosyası çalıştırmaları gerektiğine inandırmak için kullandıkları sahte mesajları görüntüler.
Lumma enfeksiyonu, kullanıcılar kötü amaçlı yazılım komut dosyasını kopyalayıp Çalıştır penceresine yapıştırıp çalıştırdıktan sonra başlar.
Kötü amaçlı yazılım yayına girdikten sonra Lumma Stealer’ın Komuta ve Kontrol (C2) sunucusuyla nasıl iletişim kurduğunu, tarayıcıda saklanan şifreler, kripto para birimi anahtarları ve hatta 2FA belirteçleri gibi hassas verileri çıkarmaya odaklandığını izleyebilirsiniz.
ANY.RUN’un sanal alanı bu etkileşimleri yakalayarak kötü amaçlı yazılımın izole bir ortamda davranışını gösterir.
Lumma Stealer’ın sahte CAPTCHA sayfaları aracılığıyla dağıtıldığı bu özel durumda, çeşitli MITRE ATT&CK teknikleri gözlemlendi:
- Komut ve Komut Dosyası Yorumlayıcısı: PowerShell – Saldırı büyük ölçüde kullanıcı tarafından yürütülen PowerShell komut dosyalarına dayanıyor. Kötü amaçlı komut dosyasını WIN+R komutu aracılığıyla çalıştırması için kandırıldıktan sonra PowerShell, sistemden yararlanmaya yönelik yaygın bir teknik olan kötü amaçlı yazılımı başlatmak için kullanılır.
- Kullanıcının Yürütmesi: Kötü Amaçlı Dosya – Kullanıcı, CAPTCHA ile ilgili sorunu çözeceği inancıyla kötü amaçlı dosyayı (PowerShell betiği) çalıştırmaya ikna edildiğinde bu teknikten yararlanılır.
- Maskeleme: Sistem Yardımcı Programlarını Yeniden Adlandırın – Kötü amaçlı yazılım komut dosyası, sistem yardımcı programlarını meşru görünecek veya etkinliğini gizleyecek şekilde yeniden adlandırır.
- Yapıları Gizle: Gizli Pencere – Kötü amaçlı yazılım yürütüldükten sonra, kullanıcıyı herhangi bir şüpheli etkinlik konusunda uyarmayı önlemek için gizli bir pencere veya arka plan işlemleri kullanabilir. Bu teknik, kötü amaçlı yazılımın veri sızdırma işlemini gerçekleştirirken tespit edilmeden çalışmaya devam etmesini sağlamaya yardımcı olur.
ANY.RUN Sandbox ile Kötü Amaçlı Yazılımları Güvenli Bir Şekilde Analiz Edin
Kötü amaçlı yazılımların nasıl çalıştığını tam olarak anlamak için, tüm enfeksiyon zincirini gerçek zamanlı olarak gözlemlemek üzere ANY.RUN’un etkileşimli kötü amaçlı yazılım sanal alanını kullanabilirsiniz.
Korumalı alan, ilk enfeksiyondan veri sızdırmaya kadar kötü amaçlı yazılımların nasıl çalıştığına dair kapsamlı bir görünüm sağlar. Saldırı zincirinin her adımını kontrollü bir ortamda takip ederek, canlı sistemleri riske atmadan kötü amaçlı yazılım taktiklerini tespit etmeyi ve anlamayı kolaylaştırın.
Try ANY.RUN sandbox for 14 days for free