Одна из последних тактик, применяемых злоумышленниками с помощью вредоносной программы Lumma Stealer, - использование поддельных CAPTCHA для обмана пользователей и выполнения вредоносных скриптов. Жертвам предлагалось перейти по подозрительной ссылке, после чего они сталкивались с поддельной CAPTCHA, которая требовала выполнить сценарий PowerShell. Этот метод оказался эффективным за счет доверия пользователей к CAPTCHA.
Lumma Stealer
В одной из обнаруженных кампаний злоумышленники использовали взломанный итальянский домен, основанный на устаревшей версии CMS WordPress, для распространения вредоносной программы Lumma Stealer. Анализ исходного кода домена показал наличие вставленного Base64-кодированного JavaScript-скрипта, который генерировал поддельную CAPTCHA только для пользователей Windows.
После выполнения инструкций поддельной CAPTCHA выполнялся сценарий PowerShell, который загружал и исполнял файл с удаленного ресурса. Размер этого сценария составлял 10 МБ, и он был сложно проанализировать в онлайн-песочнице. При ближайшем рассмотрении кода сценария PowerShell, была обнаружена функция fdsjnh, которая преобразовывала список чисел в строку, декодировала строку Base64 и применяла операцию XOR с определенным ключом.
Ключ XOR был связан с переменной $GdFsODSAO и был получен путем переназначения переменных в коде. Без этого ключа невозможно было правильно декодировать содержимое. Для получения ключа было использовано решение с помощью песочницы AnyRun. Полученный XOR-ключ был использован в функции fdsjnh для декодирования содержимого.
С помощью языка программирования Python был разработан код для выполнения декодирования содержимого. Этот код преобразовывал массив байтов в строку, декодировал строку Base64, применял операцию XOR с использованием ключа XOR и возвращал декодированный результат.
Indicators of Compromise
Domains
- data-seed-prebsc-1-s1.bnbchain.org
- kev-tolstoi.com
- klipderiq.shop
- misha-lomonosov.com
- solve.bogx.org
- sputinik-1985.com
URLs
- https://apporholis.shop/api
- https://charminammoc.cyou/api
- https://chipdonkeruz.shop/api
- https://crowdwarek.shop/api
- https://data-seed-prebsc-1-s1.bnbchain.org:8545/
- https://femalsabler.shop/api
- https://handscreamny.shop/api
- https://klipderiq.shop/kinko.mp4
- https://klipderiq.shop/sh
- https://qu.ax/TyONE.mp4
- https://robinsharez.shop/api
- https://solve.bogx.org/awjsx.captcha
- https://soundtappysk.shop/api
- https://steamcommunity.com/profiles/76561199724331900
- https://versersleep.shop/api
MD5
- 8435c0d486aaad374e46544ed6dfbf23
- a0f063b82ce5a44aba075f17b9284bab
SHA1
- e1c46fb92ff3827347c47362511ccb0b1b09f123
- fb5f96c3b778a77636ac8f080e91e735f5480933
SHA256
- 0567b98365f8f5e5a3adf508dc7234ea7b50270a8106c3a66a0da96f38058118
- baa0f226181c0189354592ed8155b1b7081dfc056f3a2beca4ff335c86635734