Недавно McAfee Labs обнаружила кампанию по распространению вредоносного ПО, использующего поддельные страницы CAPTCHA, в том числе Lumma Stealer - вредоносную программу, нацеленную на конфиденциальную информацию, например, криптовалютные кошельки и браузерные расширения 2FA.
Lumma Stealer
Кампания носит глобальный характер, заражения распространяются по двум основным векторам: ссылки на скачивание взломанных игр и фишинговые письма, направленные на пользователей GitHub. В одном случае пользователи, ищущие пиратское игровое ПО, перенаправляются на вредоносные страницы с CAPTCHA, где их обманом заставляют выполнить сценарий PowerShell, устанавливающий вредоносное ПО.
Во втором случае фишинговые письма, выдаваемые за предупреждения о безопасности GitHub, направляют пользователей на аналогичные CAPTCHA-страницы. В обоих случаях вредоносный скрипт копируется в буфер обмена и выполняется через команду Windows Run в обход традиционных мер безопасности. Скрипт использует многоуровневое шифрование и утилиту mshta, чтобы скрыть свою истинную цель - загрузку и запуск Lumma Stealer. Храня вредоносную программу в папке Temp, злоумышленники избегают обнаружения, что обеспечивает успешное заражение и утечку данных.
Indicators of Compromise
Domains
- rungamepc.ru
SHA256
- 19d04a09e2b691f4fb3c2111d308dcfa2651328dfddef701d86c726dce4a334a
- 632816db4e3642c8f0950250180dfffe3d37dca7219492f9557faf0ed78ced7c
- b6a016ef240d94f86e20339c0093a8fa377767094276730acd96d878e0e1d624
- bbf7154f14d736f0c8491fb9fb44d2f179cdb02d34ab54c04466fa0702ea7d55
- cc29f33c1450e19b9632ec768ad4c8c6adbf35adaa3e1de5e19b2213d5cc9a54
- d737637ee5f121d11a6f3295bf0d51b06218812b5ec04fe9ea484921e905a207
- fa58022d69ca123cbc1bef13467d6853b2d55b12563afdbb81fc64b0d8a1d511