В сентябре 2024 года Sophos Managed Detection and Response выявили кампанию Lumma Stealer, которая использует подделку CAPTCHA-сайтов для распространения вредоносных PowerShell команд.
Описание
Расследования позволили рассмотреть механизм работы Lumma Stealer, который активен с 2022 года. Этот инфопохититель нацелен на различные ценную информацию, такую как пароли, токены сессий и криптовалютные кошельки, и использует хитроумные способы доставки, в том числе манипулируя доверием пользователей и используя социальную инженерию.
Различные вариации поведения Lumma Stealer представляют интерес для защитников информации из-за его широкого распространения. Он может легко адаптироваться для использования в других атак. Одно исследование зафиксировало до 5000 сайтов с фальшивыми CAPTCHA, связанными с Lumma Stealer. Компании Netskope Threat Labs и Qualys также проводили исследования, раскрывая методы использования данного инфопохитителя. Рекомендуется внимательно изучить наборы данных, предоставленные исследователями.
Схема атаки с использованием CAPTCHA включает создание вредоносных сайтов, которые под видом проверки безопасности загружают команды PowerShell и выполняют скрытые функции JavaScript. Это позволяет Lumma Stealer загрузиться на компрометированные системы и начать выполнение вредоносной деятельности. Lumma Stealer является серьезной угрозой для безопасности данных, и необходимо внимательно следить за его механизмами действия и методами защиты от него.
Индикаторы компрометации
IPv4
- 104.21.84.25
- 104.21.84.251
- 141.193.213.10
- 156.59.126.78
Domains
- awake-weaves.cyou
- deafeninggeh.biz
- debonairnukk.xyz
- diffuculttan.xyz
- effecterectz.xyz
- immureprech.biz
- peelyitemsn.click
- snail-r1ced.cyou
- sordid-snaked.cyou
- wrathful-jammy.cyou
URLs
- https://evolytix.com/wp-includes/fonts/CewtlSPn.txt
- https://fixedzip.oss-ap-southeast-5.aliyuncs.com/artist.zip
- https://fixedzip.oss-ap-southeast-5.aliyuncs.com/new-artist.txt
- https://fixedzip.oss-ap-southeast-5.aliyuncs.com/pioneer.txt
- https://fixedzip.oss-ap-southeast-5.aliyuncs.com/pioneer.zip
- https://FUGTGU76v1.b-cdn.net/iltst.zip
- https://FUGTGU76v1.b-cdn.net/nxt/ilt.txt
- https://klipdexypoi.shop/wassap.mp4
- https://usermahnualplatform-14.site/MNL14/instruction_695-18014-012_rev.php
- https://usermanualplatform.com/?gad_source=5&gclid=EAIaIQobChMIq7Dp5rKwigMVXaRmAh3uXySREAAYASAAEgLFUPD_BwE
- https://www.googleadservices.com/pagead/aclk?sa=L&ai=DChcSEwi9isbdsrCKAxV1LXsHHZq8M0wYABAAGgJ0bQ&ae=2&aspm=1&co=1&ase=5&gclid=EAIaIQobChMIvYrG3bKwigMVdS17Bx2avDNMEAAYASAAEgKomfD_BwE&ohost=www.google.com&cid=CAASJuRosMAh_pmnrKgHnRyE4Lfiv_5QusyXIVc1HY8a6Eo87L0RZ4Qh&sig=AOD64_3NyGNBHFXQ9B_h3-F3Fyp0oe4HrQ&q&adurl&ved=2ahUKEwj95L3dsrCKAxU_zDgGHdUBKfsQ0Qx6BAgOEAE&nis=7&dct=1&suid=30426012769&ri=26
SHA1
- 337424610694e00ebac66d36dd20e535c7a92164
- e298cd6c5fe7b9b05a28480fd215ddcbd7aaa48a