Киберпреступники Lunar Spider атакуют организации через поддельную CAPTCHA и подгрузку вредоносных DLL

Кампания начинается с фишинговой страницы, на которой жертве предлагается пройти проверку CAPTCHA для продолжения работы. Однако вместо настоящего теста на человечность запускается PowerShell-скрипт, использующий COM-объект WindowsInstaller для скрытой загрузки вредоносного MSI-пакета.

После запуска MSI-инсталлятора в папку "%APPDATA%" копируется легитимный исполняемый файл, например, "igfxSDK.exe" от Intel. Одновременно с ним загружается вредоносная DLL "WTSAPI32.dll", которая подменяет системную библиотеку. Когда пользователь или система запускают легитимный файл, он автоматически загружает зловредный код, внедренный в DLL.

Использование подписанного (хотя и отозванного) сертификата для вредоносной DLL и легитимного ПО позволяет злоумышленникам обходить защитные механизмы. В ряде случаев EDR-системы не фиксируют подозрительную активность, так как заражение происходит через доверенные процессы.

После успешного внедрения Lotus V2 Loader устанавливает связь с C2-серверами, маскируя трафик под легитимные запросы. В некоторых случаях EDR блокирует сетевые соединения на основе сигнатур угроз, однако атака остается труднодетектируемой из-за применения методов обхода защиты.

Для предотвращения подобных атак эксперты советуют усилить контроль за исполнением PowerShell-скриптов, блокировать подозрительные COM-объекты и отслеживать аномальные действия в "%APPDATA%". Также важно обновлять сигнатуры EDR и использовать механизмы проверки цифровых подписей файлов.

Lunar Spider продолжает совершенствовать свои инструменты, и эта кампания демонстрирует, насколько важна многоуровневая защита от современных угроз. Организациям следует обучать сотрудников распознаванию фишинга и внедрять технологии поведенческого анализа для своевременного выявления атак.

Domains

• daringdesigners.com
• domtrst455.com
• fide45felhs.com
• higtwebgenis.com
• kiprihorycom.com
• pros0512.com
• prot12-05.com
• prot2-0512.com
• safewithusres.com
• valifoprofsto.com
• visafropik.com

SHA256

• 149309f9183b9baa2bd4db6df52873efdeefa3315ed158843cabcba149bec880
• 24d7cc12381e2502ac7fac42d2dbd1301b5dc1e0f6e797a62fac56dc570438dd
• 35e60a0107b9e56d6bec9b504a4e3396a580c8c7cabf317e23c78ffe2b3686a0
• 3b2b5b486cc4229c8c43db8d7f74c2e1c0d0f1665b927e9d649dab838c682ac1
• 405a5258b1f8c02ca45cfbcbcaba6152cf481665a160bc8971bbc837dc70a4c5
• 5070cc64b72062e18baa2ba164e1fef9d9a57a9962a64738d8405cd8c3af5101
• 69af1d10dd1dacae362ab8fd4e5bcc97ddb363cdeb06a4bf1bc3db4dfc68b1e1
• a66f6e35103338c25ee143c98a6f722c87a663610f147564f99b87468315a1f7
• e798f2b3f7a44f5a9db7199964a0b5cc157db8cb1e84a3c8cbe721dbac0f0604
• ec29ce8537e112869dfccb8a57574ebd01eecd7ff5c9fff54fdc1b05ea8941b3

Certificate Subject CN

• LLC Xenit
• Wuxi Weitai Nano Technology Co., Ltd.

Certificate Serial Number

• 5631DCB283EC62ED3B96E8BE
• 5F36FF3EFCF0620ED7D1FD6C

Certificate Thumbprint

• C519277F61B1BE886D187A0C2E7909D694933250
• DAD62095A80EEA1E6DECF91F957E59BA562B27A1