Главная страница » IOC
0
7 дней
IOC

Поддельная reCAPTCHA от LummaStealer

Spyware

В последнем месяце 2025 года была выявлена вредоносная кампания, осуществляемая через атаку на сайты бронирования. Злоумышленники используют поддельные страницы бронирования, чтобы на доверчивых путешественников с помощью фишинга и мошеннических объявлений устанавливать вредоносные программы.

Lumma Stealer

Основным инструментом таких атак является LummaStealer, программа, похищающая информацию о пользователях. В новой волне атак LummaStealer нацелена на международные пользователей, включая такие страны, как Филиппины и Германия.

При атаке пользователи попадают на поддельные сайты бронирования, где они получают ссылки на загрузку и выполнение вредоносных программ. Атакующие использовали тексты CAPTCHA, чтобы скрыть загрузку вредоносной полезной нагрузки. Они также разработали новые скрипты и обновленные версии LummaStealer, чтобы обмануть системы обнаружения и маскировать свою деятельность под обычные инсталляторы.

Весь процесс атаки представлен в схеме, где пользователи сначала переходят по фишинговым ссылкам, затем выполняются команды PowerShell, загружающие вредоносную полезную нагрузку LummaStealer. Интересно отметить, что во время атаки пользователей просили выполнить команду Windows Run, что позволяло пробить защиту антивирусных программ.

В фишинговой кампании были использованы поддельные сайты бронирования, которые содержали фальшивые PDF-файлы с данными о бронировании от популярных платформ, таких как booking.com и hrs.com. Чтобы повысить вероятность обмана пользователя, на этих сайтах также использовались поддельные CAPTCHA.

Эта атака является примером новых методов, которые киберпреступники используют для вымогательства информации от путешественников.

Indicators of Compromise

URLs

  • https://booking.procedeed-verific.com/goo_pdf
  • https://payment-confirmation.82736.store/pgg46

SHA256

  • 0419a1942af24e21f988249db2c1748509471cca6b5b7fe9305eac817c5c4d41
  • 64c9723e61808e95716485b020f24ce3dadfd982e2bf3e94e7ee5e8ced388dc2
  • 71fe618a360c3d077af47ddb17b35de5300c94d3f46fb173a039c01d8ca6b86c
  • 7b3bd767ff532b3593e28085940646f145b9f32f2ae97dfa7cdd652a6494257d
  • 8c408b29cbd76f60ecdf703f737408c5c0ae4d87bfa9c43f3307a36df408122b
  • aaf43aab8c08b41682f2b682b05d612651a2b43e235abc06bb5c4fde01bf50be
  • bfdffcee5951982691af1678f899b39b851b6fd3167d3354c62385fb9b7eac02
Комментарии: 0
Похожие записи
0
5 дней
IOC

Вредоносная рекламная кампания приводит к похитителям информации, размещенным на GitHub

Spyware
В начале декабря 2024 года была обнаружена крупномасштабная кампания вредоносной рекламы, затронувшая около миллиона устройств по всему миру. Атака произошла через незаконные веб-сайты потокового вещания
0
13 дней
IOC

ReaverBits APT IOCs - Part 2

security
ReaverBits - это киберпреступная группировка, которая в основном атакует российские компании в различных отраслях, таких как биотехнологии, розничная торговля, агробизнес, телекоммуникации и финансы.