Lumma Stealer: Известная компания, занимающаяся кражей информации, меняет свои TTP, но сохраняет тактику CAPTCHA.

Stealer

В сентябре 2024 года Sophos Managed Detection and Response выявили кампанию Lumma Stealer, которая использует подделку CAPTCHA-сайтов для распространения вредоносных PowerShell команд.

Описание

Расследования позволили рассмотреть механизм работы Lumma Stealer, который активен с 2022 года. Этот инфопохититель нацелен на различные ценную информацию, такую как пароли, токены сессий и криптовалютные кошельки, и использует хитроумные способы доставки, в том числе манипулируя доверием пользователей и используя социальную инженерию.

Различные вариации поведения Lumma Stealer представляют интерес для защитников информации из-за его широкого распространения. Он может легко адаптироваться для использования в других атак. Одно исследование зафиксировало до 5000 сайтов с фальшивыми CAPTCHA, связанными с Lumma Stealer. Компании Netskope Threat Labs и Qualys также проводили исследования, раскрывая методы использования данного инфопохитителя. Рекомендуется внимательно изучить наборы данных, предоставленные исследователями.

Схема атаки с использованием CAPTCHA включает создание вредоносных сайтов, которые под видом проверки безопасности загружают команды PowerShell и выполняют скрытые функции JavaScript. Это позволяет Lumma Stealer загрузиться на компрометированные системы и начать выполнение вредоносной деятельности. Lumma Stealer является серьезной угрозой для безопасности данных, и необходимо внимательно следить за его механизмами действия и методами защиты от него.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Domains
  3. URLs
  4. SHA1

IPv4

  • 104.21.84.25
  • 104.21.84.251
  • 141.193.213.10
  • 156.59.126.78

Domains

  • awake-weaves.cyou
  • deafeninggeh.biz
  • debonairnukk.xyz
  • diffuculttan.xyz
  • effecterectz.xyz
  • immureprech.biz
  • peelyitemsn.click
  • snail-r1ced.cyou
  • sordid-snaked.cyou
  • wrathful-jammy.cyou

URLs

  • https://evolytix.com/wp-includes/fonts/CewtlSPn.txt
  • https://fixedzip.oss-ap-southeast-5.aliyuncs.com/artist.zip
  • https://fixedzip.oss-ap-southeast-5.aliyuncs.com/new-artist.txt
  • https://fixedzip.oss-ap-southeast-5.aliyuncs.com/pioneer.txt
  • https://fixedzip.oss-ap-southeast-5.aliyuncs.com/pioneer.zip
  • https://FUGTGU76v1.b-cdn.net/iltst.zip
  • https://FUGTGU76v1.b-cdn.net/nxt/ilt.txt
  • https://klipdexypoi.shop/wassap.mp4
  • https://usermahnualplatform-14.site/MNL14/instruction_695-18014-012_rev.php
  • https://usermanualplatform.com/?gad_source=5&gclid=EAIaIQobChMIq7Dp5rKwigMVXaRmAh3uXySREAAYASAAEgLFUPD_BwE
  • https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwi9isbdsrCKAxV1LXsHHZq8M0wYABAAGgJ0bQ&ae=2&aspm=1&co=1&ase=5&gclid=EAIaIQobChMIvYrG3bKwigMVdS17Bx2avDNMEAAYASAAEgKomfD_BwE&ohost=www.google.com&cid=CAASJuRosMAh_pmnrKgHnRyE4Lfiv_5QusyXIVc1HY8a6Eo87L0RZ4Qh&sig=AOD64_3NyGNBHFXQ9B_h3-F3Fyp0oe4HrQ&q&adurl&ved=2ahUKEwj95L3dsrCKAxU_zDgGHdUBKfsQ0Qx6BAgOEAE&nis=7&dct=1&suid=30426012769&ri=26

SHA1

  • 337424610694e00ebac66d36dd20e535c7a92164
  • e298cd6c5fe7b9b05a28480fd215ddcbd7aaa48a
Комментарии: 0