Сложная атака с использованием SEO-отравления и загрузчика на AutoIT: злоумышленники внедряют Lumma Stealer через поддельные ISO-образы

Начальный этап вторжения маскируется под легитимную процедуру. Злоумышленники оптимизируют страницы с вредоносными ссылками, чтобы они появлялись в топе результатов поиска по запросу "YubiKey Manager". Пользователь, перейдя по такой ссылке, загружает файл с расширением .iso. При монтировании образа внутри оказывается исполняемый файл YUBICO_SETUP.EXE, который внешне имитирует установщик Yubico, но на деле служит точкой входа для сложной инфекции.

После запуска YUBICO_SETUP.EXE загружает библиотеку PYTHON311.DLL - это классическая DLL-hijacking (подмена динамической библиотеки). Вредоносная DLL, в свою очередь, инициирует выполнение скрипта PowerShell, закодированного в Base64. Скрипт добавляет исключения в защитник Windows (Windows Defender) для файлов с расширением .exe и .com, а также для временной папки Temp. Одновременно происходит первичная связь с командным сервером злоумышленников - образец отправляет HTTP-запросы на адрес verifydl.top. В системном реестре создаётся запись RunOnce, загружающая rundll32.exe при следующем входе в систему, что обеспечивает закрепление.

Ключевым компонентом первого этапа является файл Health.exe, который на самом деле представляет собой интерпретатор AutoIt с сильно обфусцированным скриптом. Специалисты, проанализировавшие образец, в отчёте отметили, что скрипт использует шифрование RC4 и декомпрессию LZNT1 для извлечения основной полезной нагрузки. Этот загрузчик выполняет инжекцию кода в память с помощью техники Process Hollowing (RunPE) - вредоносный процесс запускается внутри легитимного, не записываясь на диск. Таким образом, традиционные антивирусные решения, проверяющие файлы, часто пропускают подобную активность.

После того как полезная нагрузка (написанная на C++ с использованием Qt) оказывается в памяти, она приступает к повышению привилегий. Вредоносная программа дублирует токен процесса winlogon.exe, получая доступ к системе с максимальными правами SYSTEM. Это позволяет обойти так называемую "app-bound" (привязанную к приложению) защиту браузеров и других приложений, которые хранят ключи шифрования в защищённых областях. Данная техника даёт возможность расшифровать пароли, которые современные браузеры (например, Chromium-основанные) зашифровывают с привязкой к текущему пользовательскому сеансу.

Сбор данных ведётся чрезвычайно агрессивно. Lumma Stealer собирает информацию из 24 различных браузеров на движке Chromium, а также из Firefox. Кроме того, он ориентируется на учётные данные FTP-клиентов (FileZilla, WinSCP) и SSH-клиента PuTTY, а также конфигурационные файлы менеджера паролей KeePass. Перед отправкой злоумышленникам вредоносная программа создаёт снимок рабочего стола в формате JPEG и запрашивает через WMI данные об операционной системе, антивирусном решении и списке установленного программного обеспечения. Собранная информация упаковывается в архив с именем [ID]_grab.zip и отправляется на командный сервер через HTTP POST-запрос с поддельным User-Agent браузера Firefox.

Особую опасность представляет набор бэкдоров, внедряемых после кражи данных. Lumma Stealer устанавливает так называемый RDP-бэкдор (rdpwrap.dll), позволяющий удалённо подключаться к рабочему столу жертвы. Кроме того, он разворачивает обратный туннель через утилиту Plink (часть PuTTY), обходя файрволы, и принудительно устанавливает вредоносные расширения в браузеры Chrome, которые могут перехватывать трафик или выполнять команды злоумышленников. Постоянство заражения обеспечивается созданием скрытой задачи в планировщике Windows через COM-интерфейсы. Эта задача запускает вторичную полезную нагрузку с характерным именем NeuraLogix - именно такое название задачи служит одним из главных признаков, привязывающих данную кампанию к семейству Lumma Stealer.

Атрибуция к Lumma Stealer подтверждается несколькими уникальными деталями. Во-первых, загрузчик написан на AutoIt, что типично для предыдущих волн Lumma. Во-вторых, в скрипте обнаружены проверки на наличие песочниц с известными именами test22, NfZtFbPfH и ELICZ - ранее такие строки уже встречались в образцах Lumma. В-третьих, задача NeuraLogix была зарегистрирована в аналитических базах как маркер именно этой вредоносной программы. Комбинация перечисленных факторов не оставляет сомнений в том, что за этой атакой стоит одна из наиболее активных в 2024-2025 годах группировок, распространяющих инфостилер.

Для организаций данная угроза означает не только утечку личных данных сотрудников, но и компрометацию корпоративных сервисов: FTP-клиенты часто содержат доступ к внутренним файловым хранилищам, PuTTY - к SSH-ключам для серверов, а KeePass может хранить пароли от критических систем. Получив привилегии SYSTEM и RDP-доступ, злоумышленники способны беспрепятственно перемещаться по сети, устанавливать дополнительное вредоносное ПО и долгое время оставаться незамеченными. Использование SEO-отравления означает, что под ударом находятся даже те пользователи, которые сознательно ищут официальное ПО - атакующие активно эксплуатируют доверие к поисковым системам.

В сложившихся условиях специалистам по защите периметра стоит уделить особое внимание фильтрации сетевого трафика на предмет подозрительных HTTP-запросов к незнакомым доменам (.top, .xyz и т.п.), мониторингу создания новых задач в планировщике с нестандартными названиями, а также внедрению политик, запрещающих монтирование ISO-образов из интернета без проверки цифровой подписи. Однако главный вывод из этой истории заключается в том, что даже проверенные методы поиска и загрузки софта перестают быть безопасными, а многоступенчатые техники обхода защиты превращают простой установщик в разветвлённую сеть компрометации.

Domains

• verifydl.top
• yubico-app.com

SHA256

• bcd08a8a103088ba2451a3a547725285a78894d71769494245c0aadf37e2e431
• e70d3ebc928d2c199d7a62b130421c398b2dc89db48645585d67927b471912c4