Киберпреступники продолжают использовать поддельные CAPTCHA в качестве начального вектора заражения для распространения вредоносного ПО. В первую очередь Lumma stealer распространялся через сайты, на которых размещались взломанные игры, но с тех пор кампания распространилась на сайты для взрослых, файлообменные сервисы, букмекерские платформы, аниме-ресурсы и веб-приложения. Исследователи Kaspersky Lab также обнаружили CAPTCHA, доставляющие троянца Amadey.
Lumma Stealer
Вредоносная CAPTCHA является частью рекламной сети, которая содержит реальные предложения в дополнение к перенаправлениям, ведущим на страницы с поддельной CAPTCHA. CAPTCHA обманывает пользователей, заставляя их выполнить Base64-кодированную команду PowerShell, которая ведет к обфусцированному сценарию PowerShell, загружающему вредоносную полезную нагрузку. Похититель Lumma использует легитимный инструмент BitLockerToGo.exe для манипуляций с реестром и поиска файлов, связанных с криптовалютными кошельками, расширениями браузеров, cookies и архивами менеджеров паролей, чтобы украсть данные. Троянец пытается использовать инструмент для отправки украденных данных на сервер злоумышленника. Затем он посещает различные интернет-магазины, возможно, чтобы увеличить количество просмотров и принести доход своим операторам. Кроме того, в рамках кампании распространяется троян Amadey, который крадет учетные данные из веб-браузеров и различных систем виртуальных сетевых вычислений (VNC), подменяет адреса криптокошельков в буфере обмена, а в некоторых случаях делает скриншоты и загружает инструмент удаленного доступа Remcos для получения полного доступа к устройству жертвы.
Kaspersky Lab сообщает, что с 22 сентября по 14 октября 2024 года более 140 000 пользователей столкнулись с рекламой, связанной с этой кампанией, и более 20 000 из них были перенаправлены на зараженные сайты. Больше всего пострадали пользователи в Бразилии, Испании, Италии и России.
Indicators of Compromise
MD5
- 525abe8da7ca32f163d93268c509a4c5
- 824581f9f267165b7561388925f69d3a
- e3274bc41f121b918ebb66e2f0cbfe29
- ee2ff2c8f49ca29fe18e8d18b76d4108
SHA1
- 4e9072c490ad2f00c9919bf638b78ac8a0b87fe6
- 59f706841db1ad174075bd529cc5b231a6bb6054
- 7afb22841d598a54b403bb44bc533dcded1c007a
- baa6e56ab2ad4e6072b063febde50075362b42a0
SHA256
- 210a9e063211abc76ee5d4b082a207ae20627021d0ec3131963a4a1822aaf9db
- 8c46aa56afe592d1b740b8b243df054d5c04d4e008edf04a5638efe4475a704c
- b392210a614d4a3a6673c08c75491a4b722c0abe7ff5a5af0c01fe84f23314c9
- dad8074d6d4bfe1e253ed9a4e3554a6993198b96ee26af03be080acd9f7fda22
