Главная страница » Индикаторы компрометации
0
9 месяцев
Индикаторы компрометации

Поддельные CAPTCHA и новые техники для обхода обнаружения Lumma Stealer

Stealer

В январе Netskope Threat Labs обнаружили новую кампанию, которая использовала поддельные CAPTCHA для доставки вредоносного ПО Lumma Stealer. Кампания имеет глобальный характер и затрагивает различные отрасли, включая здравоохранение, банковское дело и маркетинг. Исследователи заметили, что злоумышленники распространяют Lumma Stealer различными способами, включая взломанное программное обеспечение и поддельные страницы CAPTCHA. Они также используют разные методы и полезные нагрузки, чтобы обойти средства защиты и заразить компьютеры пользователей Windows.

Lumma Stealer

Цепочка заражения обычно начинается с посещения жертвой веб-сайта, который перенаправляет ее на фальшивую страницу CAPTCHA. Затем жертве предлагается выполнить определенную последовательность действий, которая приводит к выполнению следующего этапа цепочки заражения. Отмечается, что злоумышленники используют специальные типы поддельных CAPTCHA, которые предписывают жертве выполнить команды на своем компьютере, чтобы запустить заражение. Загрузка и выполнение вредоносного кода вне браузера помогает обойти средства контроля кибербезопасности в браузере.

За кулисами кода сайта содержится фрагмент JavaScript, который добавляет команду в буфер обмена. Эта команда использует инструмент mshta.exe в Windows для загрузки и выполнения HTA-файла с удаленного сервера. Таким образом, злоумышленники обходят защиту на основе браузера и заражают компьютер жертвы. Загруженный код вызывает PowerShell для декодирования и выполнения следующего этапа на машине жертвы.

Следующий этап - более крупная и обфусцированная полезная нагрузка PowerShell, которая декодируется с помощью ключа и выполняет дополнительные действия на компьютере жертвы. Хотя код может быть сложным из-за своего размера, он применяет некоторые математические операции для деобфускации и использует определенный ключ.

Общие выводы относятся к новой кампании Lumma Stealer, которая использует поддельные CAPTCHA и различные способы распространения для заражения пользователей Windows по всему миру. Цепочка заражения включает этап, на котором жертве предлагается выполнить команду из буфера обмена, а также дополнительные этапы, которые обходят средства защиты и имеют свою полезную нагрузку. Эта кампания имеет глобальный характер и затрагивает различные отрасли, поэтому жертвами ее стали организации в разных странах.

Такие новые кампании подчеркивают необходимость постоянного обновления мер безопасности компьютерной системы и обучения пользователей, чтобы предотвратить попадание вредоносного ПО на их компьютеры и сети.

Indicators of Compromise

URLs

  • bazaar.abuse.ch/download/34f8309b94241f6e5b24/
  • bestinthemarket.com/courses.html
  • celebrationshub.shop/continue-to-browse.html
  • crystaltreasures.shop/get-going-forward.html
  • cubesmatch.com/play.html
  • diamondrushed.com/play.html
  • dokedok.shop/pass-this-step-to-go-next-riii1n.html
  • edidos.shop/pass-this-step-to-go-further-riii1.html
  • espiano.shop/proceed-to-next-page-riii1.html
  • ghazaano.shop/Need-to-Pass-this-Stepv2.html
  • googlsearchings.cfd/you-have-to-pass-this-step-2.html
  • googlsearchings.online/you-have-to-pass-this-step-2.html
  • gustavu.shop/path0forwarding-stepv2.html
  • iconcart.shop/must-clear-this-check-rii.html
  • jazmina.shop/pass-this-step-to-go-next-riii2.html
  • joopshoop.shop/speedy-check-waitv111.html
  • kizmond.shop/myforwarding-path-gotov01.html
  • luxeorbit.shop/you-have-to-pass-this-step-2.html
  • milta.shop/next-page-proceeding-waitv1.html
  • norpor.shop/surfing-toward-next-pagev2.html
  • oliveroh.shop/pass-this-step-to-continue-s7.html
  • retrosome.shop/proceed-to-next-page-riii2.html
  • rezomof.shop/pass-this-step-to-continue-s7.html
  • royaltyfree.pics/have-to-pass-this-step.html
  • sharethewebs.cfd/must-clear-this-check.html
  • sharethewebs.click/must-clear-this-check.html
  • sharethewebs.click/you-have-to-pass-this-step-2.html
  • sos-at-vie-1.exo.io/sotbuck/next/step/to/have-to-pass-this-step-web5.html
  • sos-at-vie-2.exo.io/simulation/continue/ruweb/keep-browsing-to-continue-web-55.html
  • sos-bg-sof-1.exo.io/kierendisk/strangled/path/final/keep-browsing-to-continue-web-s5.html
  • sos-ch-dk-2.exo.io/last/page/complete-and/must-complete-to-continue-re6.html
  • sos-ch-dk-2.exo.io/last-instance/to-verify/pass-this-step-to-continue-s6.html
  • sos-ch-dk-2.exo.io/onr/play.html
  • sos-ch-gva-2.exo.io/instance-of/verification/pass-to-continue-s7.html
  • sos-ch-gva-2.exo.io/instance-of/verification/path-to-next-7.html
  • sos-de-muc-1.exo.io/after/clear/then/continue-ri-1.html
  • sos-de-muc-1.exo.io/asist/last/check/keep-browsing-to-continue-web-55.html
  • speedmastere.com/play.html
  • towercrash.com/play.html

MD5

  • 00317b9ff31f7aa93f7c7891e0202331
  • 08da9a5f3cf4f3e448fb45d5cd74297d
  • 0ba2afe43cc4deed266354b1c2cfb5a7
  • 0ea0350dfb3d146e5939271268e4e52a
  • 14d8486f3f63875ef93cfd240c5dc10b
  • 1d7d6cf1329fcc28d82778f4406d9245
  • 1f07e1668f18440abc05d9b2a58a7640
  • 29178a065d290c55fdc12cfe90b0fae6
  • 2ae547b5b79c6c3cc7463b946aa38ee9
  • 2fd36c3bf514f10855b76785af31d4ef
  • 30f43a6fdb205be22445308a6f89096a
  • 3272a4855cb310b676bdb0c4ff221417
  • 3686cad7078128482ac6bd5c46a953ac
  • 3734e365ab10e73a85320916ba49c3ee
  • 380565ca4713bf766a6b7136f9d46382
  • 393c64810ddb7437fa040194ecb972ca
  • 4755a5cff067cb450b2b871bcd2e3ece
  • 5b567f16133db6d4b1e58aacc5d58800
  • 67cadbdd12fa42dccf7bd3b0a2700c75
  • 69c5123c9240df4a25141bb828405883
  • 7e929ee11f9d2dabd90ea6c21568d689
  • 802ceab005721dffaaae01c846766e0e
  • 82e5e8ec8e4e04f4d5808077f38752ba
  • 83c30841c22491cc465206e3e26a5571
  • 907992bfa7e5bfd56e59e86e83677e70
  • 93b8729bbb1d413bfd44436d0c544116
  • 9e55e377eb6707746cde46344e8f4a46
  • a151c8fd5326c1670c0ea3245d01f9a8
  • a181e4f186f156cbb238984f8a5bf4e6
  • a45f93ced67a7a21ca6ea08e4078e874
  • a5d2c4a9bca49328d64d48ee3b331811
  • a94ecef988b7c3a69b91c24cd9632156
  • b06f858cbfe8ef08c58353a4433adf54
  • b30d6b4cbf6f5c137f8b9800a02584cb
  • b377795978c82087db0a0bcd69cdbfff
  • b7204abea15496e68f490eb9da3cca54
  • bf407bfaa4f8fbf7d6cc655939cceee0
  • c2430d166b53fb388cfc92785eeb18d7
  • ca6775302bf389a78b3a732e58629cd5
  • d5a675995c0e20c53991595252306b18
  • d5d0aa662174e3b148642574f99eb357
  • db4c6ccf5015db1ba253692016904835
  • dbb81b8d6585511af65cc84fb4536d3c
  • dd74b4fb6bc7807df71fd589fb25a2cc
  • e53474ed38d9da707eb7783b5478a2ec
  • e57f7e8ce851cfd206ca999d8525d6e4
  • e9b876903c100f8789071de91d405da9
  • ea27fc140d8b655d900bd8ee1fb5fdd5
  • edc1a96e3ac9d13654e1dcb4d7f6a37c
  • f7aee95cda3475aef88f06193c7622a5
  • faaada2346f084e12353da454a3a33c2
  • ff8db603e6d75b0e9d9c0eec0b1c7280
Комментарии: 0
Похожие записи
0
26.06.2023
Индикаторы компрометации

Aurora Stealer IOCs - Part 3

Stealer
С декабря 2022 года отдел реагирования на угрозы (TRU) компании eSentire наблюдал заражения вредоносной программой Aurora Stealer в производственной сфере. Она распространяется через поддельную рекламу Google Ads для установщика Notepad++.
1
09.06.2025
Индикаторы компрометации

Российские хакеры атакуют macOS через поддельные сайты Spectrum с новым вариантом AMOS-стеалера

Stealer
Исследователи компании CloudSEK обнаружили сложную кампанию по распространению новой версии Atomic macOS Stealer (AMOS) с использованием поддельных доменов, имитирующих сайт американского телеком-провайдера Spectrum.