Lumma Stealer, kötü amaçlı CAPTCHA sayfalarını kullanarak hedefleri kandırarak “doğrulama” sürecini tıklatarak ilk kötü amaçlı yazılım indirme işlemini tetikleyen yeni bir kampanyada rol alıyor.
Hizmet olarak kötü amaçlı yazılım (MaaS) Lumma Hırsızı Yakın zamanda en son saldırı zincirini ayrıntılarıyla açıklayan Qualys araştırmacıları, bu saldırının tehdit aktörleri tarafından şifreler ve kripto cüzdan verileri gibi hassas bilgileri çalmak için yaygın olarak kullanıldığını açıkladı.
Qualys tehdit araştırmacısı Vishwajeet Kumar, Lumma Stealer’ın en son bulgusunu ayrıntılarıyla anlatan bir blog yazısında, “Kullanıcı ‘Ben robot değilim’ düğmesini tıkladığında doğrulama adımları sunulur.” diye yazdı. “Bu adımların tamamlanması, hedef makinede bir ilk aşamalandırıcının (kötü amaçlı yazılım indiricisi) indirilmesini başlatan bir PowerShell komutunun yürütülmesini tetikler.”
Lumma Stealer’ın Kolay Uyarlanabilirliği
Kumar, bu son CAPTCHA tabanlı taktiğin yeni olduğunu ekledi. Lumma Stealer kampanya analizi. Önceki kampanyalar, bilgi hırsızlığını yaymak için temel kimlik avından çok daha egzotik kumarlara kadar çok çeşitli siber suçlara dayanıyordu.
Sadece bu yıldan sadece birkaç örnek Lumma Hırsızı kampanyası Ocak 2024’ten itibaren, Web filtrelerini aşmak ve popüler uygulamaları kırmak için geçici çözümler sunmak üzere içerik görünümüne bürünmüş YouTube kanallarını kullanan şirket.
Yazın başka bir Lumma Hırsızı Facebook’ta bu kez kurbanları meşru bir yapay zeka (AI) fotoğraf düzenleyicisi indirmeye ikna etmeye çalışan bir çaba ortaya çıktı. Hamster Kombat bile bağışlanmadı. Oyunun tahmini 250 milyondan fazla oyuncusu hedef alındı ve Lumma Stealer’ı indirmeye ikna edildi Eş zamanlı birden fazla dolandırıcılık sonucu geçen Temmuz ayında keşfedildi.
Kumar, “Lumma Stealer’a yönelik soruşturma, kötü amaçlı yazılımın uyum sağlama ve tespitten kaçma becerisiyle karakterize edilen, gelişen bir tehdit ortamını ortaya koyuyor” diye yazdı. “Yasal yazılımlardan aldatıcı dağıtım yöntemleri kullanmaya kadar çeşitli taktikler kullanıyor ve bu da onu güvenlik ekipleri için kalıcı bir zorluk haline getiriyor.”
Critical Start’ta siber tehdit istihbaratı araştırma analisti Sarah Jones’a göre, devam eden Lumma Stealer tehditlerinden korunmak, tehdit istihbaratı, güvenlik operasyon merkezleri (SOC’ler) ve olay müdahale ekipleri arasında yakın işbirliği gerektiriyor.
Jones, “Lumma Stealer gibi tehditlerin hızlı gelişimi göz önüne alındığında, güvenlik ekiplerinin sürekli izleme ve uyum sağlama, tespit kurallarını, güvenlik ihlali göstergelerini ve güvenlik kontrollerini düzenli olarak güncelleme yaklaşımı benimsemesi gerekiyor” diyor. “Bu kampanya, kuruluşların bugün karşı karşıya olduğu karmaşık tehditlere örnek teşkil ediyor ve gelişen kötü amaçlı yazılım kampanyalarıyla etkili bir şekilde mücadele etmek için gelişmiş teknik kontrolleri proaktif tehdit avcılığı ve sürekli adaptasyonla birleştiren çok katmanlı bir savunma yaklaşımı gerektiriyor.”