Lumma Stealer – malware dystrybuowany za pomocą fałszywego CAPTCHA

Użytkownicy systemu Windows stają się ofiarami fałszywych stron weryfikacyjnych, służących w rzeczywistości do dostarczania złośliwego oprogramowania. Niedawno odkryta kampania pokazała, że można trafić na takie strony poprzez zainfekowane reklamy, fałszywe aktualizacje oprogramowania czy linki rozsyłane w wiadomościach phishingowych, co sprawia, że zagrożenie jest szczególnie trudne do wykrycia i unikania.

Nasilające się ataki na CAPTCHA

Od pewnego czasu eksperci ds. bezpieczeństwa ostrzegają przed rosnącym zagrożeniem związanym z fałszywymi stronami weryfikacji ludzkiej, które podszywają się pod popularne serwisy, aby oszukać użytkowników systemu Windows. Złośliwe strony wyświetlają rzekome testy CAPTCHA, które w rzeczywistości służą nakłanianiu ofiar do pobrania i zainstalowania złośliwego oprogramowania, takiego jak trojany, ransomware czy keyloggery.

Źródło: CloudSek

Bądź ostrożny – powstaje dużo fałszywych stron weryfikacyjnych!

Pod koniec sierpnia tego roku badacze z jednostki 42 Palo Alto Networks odkryli siedem stron przypominających weryfikację CAPTCHA, które w rzeczywistości miały zupełnie inne, złośliwe cele.

„Strony te zawierają przycisk, po którego kliknięciu użytkownikowi prezentowane są instrukcje wklejenia skryptu PowerShell do okna Uruchom. Skrypt typu kopiuj/wklej pobiera i uruchamia złośliwy plik EXE Windows, który instaluje Lumma Stealer” – wyjaśnił Paul Michaud II, specjalista ds. zagrożeń z jednostki 42.

Informacje o Lumma Stealer

Pod tym linkiem możecie znaleźć plik zawierający szczegóły dotyczące wskaźników kompromitacji (IOCs) związanych z Lumma Stealer, złośliwym oprogramowaniem dystrybuowanym za pomocą fałszywych stron weryfikacji ludzkiej (CAPTCHA), nakłaniających użytkowników do wklejenia skryptu PowerShell. Skrypt ten pobiera i uruchamia plik EXE, który zawiera złośliwe oprogramowanie. Następnie wkracza infostealer, mogący wykraść hasła, dane przeglądarek, informacje finansowe oraz inne wrażliwe dane z zainfekowanych urządzeń.

Jak wygląda proces infekcji?

Badacze z CloudSEC zidentyfikowali ostatnio kolejne aktywne strony, hostowane u różnych dostawców i wykorzystujące sieci dostarczania treści, które nadal rozprzestrzeniają złośliwe oprogramowanie Lumma Stealer.

Źródło: PAN Unit 42

„Skrypt PowerShell jest kopiowany do schowka po kliknięciu przycisku Nie jestem robotem” – tłumaczą eksperci.

„Kiedy użytkownik wkleja to polecenie do okna dialogowego Uruchom (klawisz Windows+R), uruchamia się w ukrytym oknie PowerShell i wykonuje polecenie zakodowane w formacie Base64: powershell -w hidden -eC”.

Po zdekodowaniu komenda pobiera dane z pliku tekstowego hostowanego na zdalnym serwerze, który zawiera kolejne instrukcje pobierania Lumma Stealer i ich wykonania.

„Gdy pobrany plik (dengo.zip) zostanie wyodrębniony i uruchomiony na komputerze z systemem Windows, Lumma Stealer zacznie działać, łącząc się z domenami kontrolowanymi przez atakujących” – podsumowali, zwracając uwagę na to, że złośliwe oprogramowanie dostarczane przez tę stronę można łatwo modyfikować.

Uwaga na ataki targetowane na firmy!

Portal BleepingComputer pisze o ukierunkowanym ataku z wykorzystaniem GitHub i powyższej metody. Badacz ds. bezpieczeństwa Ax Sharma otrzymał niedawno powiadomienie o alertach e-mail z legalnych serwerów GitHub, które wskazują na fałszywe strony weryfikacji ludzkiej. Po zbadaniu sprawy odkrył, że handlarze złośliwym oprogramowaniem otwierają „problemy” w repozytoriach open source w GitHub i twierdzą, że projekt zawiera „lukę w zabezpieczeniach”. Ta akcja spowodowała wysłanie alertów e-mail o tej samej treści do współpracowników i subskrybentów tych repozytoriów. Alerty e-mail pochodzą z serwerów GitHub i są podpisane przez zespół ds. bezpieczeństwa GitHub oraz wskazują na domenę github-scanner[.]com, która nie należy do GitHub ani nie jest przez niego używana. Fałszywa strona weryfikacji ludzkiej czeka tam, aby dostarczyć potencjalnym ofiarom trojana.

Zalecenia dla użytkowników

Użytkownicy powinni zachować czujność wobec takich metod i być świadomi możliwości pojawienia się nowych kampanii wykorzystujących różnorodne „przynęty”, takie jak fałszywe powiadomienia o aktualizacjach, fałszywe narzędzia diagnostyczne czy inne oszustwa socjotechniczne.

Przede wszystkim nie powinni oni wykonywać żadnych kombinacji klawiszy na klawiaturze ani wypełniać instrukcji podawanych na ekranie. Cyberprzestępcy stale modyfikują swoje techniki, aby omijać zabezpieczenia i wykorzystywać luki w świadomości użytkowników. Podobne taktyki, polegające na kopiowaniu i uruchamianiu skryptów PowerShell, były już stosowane w przeszłości, np. w kampanii ClearFake z czerwca 2024, którą szczegółowo opisali badacze z Proofpoint. W tamtym przypadku oszuści wykorzystywali skrypty PowerShell do infekowania systemów, pokazując, jak łatwo mogą manipulować użytkownikami, by zainstalować złośliwe oprogramowanie na ich urządzeniach.

To nie koniec zaleceń – uwaga na kopiowanie tekstu

O przykrych konsekwencjach przekopiowywania tekstów (kombinacje CTRL+C oraz CTRL+V) czy poleceń ze stron internetowych pisaliśmy także w tym artykule. Przy okazji warto się z nim zapoznać. Dotyczy to zarówno zwykłych użytkowników, jak i administratorów czy deweloperów, którzy często dla ułatwienia sobie pracy przekopiowują gotowy kod ze stron.

Podziel się z innymi tym artykułem!