Nova metoda distribucije Lumma Stealer malwarea otkrivena
CloudSek je otkrio sofisticiranu metodu za distribuciju Lumma Stealer malwarea koja predstavlja ozbiljnu prijetnju za korisnike Windows sustava. Ova tehnika oslanja se na obmanjujuće stranice za ljudsku verifikaciju, koje korisnike zavaravaju da nesvjesno izvrše štetne komande.
Načini širenja Lumma Stealer malwarea
Iako se ova kampanja prvenstveno fokusira na širenje Lumma Stealer malwarea, njezina metodologija može se prilagoditi za isporuku različitih drugih zlonamjernih softvera. Koristi pouzdane platforme poput Amazon S3 i razne mreže za isporuku sadržaja (CDN-ove) za hosting phishing stranica. Ova kampanja koristi modularnu isporuku malwarea, gdje inicijalni izvršni program preuzima dodatne komponente ili module, čime se otežava detekcija i analiza.
Kako funkcionira lanac infekcije
Lanac infekcije u ovoj phishing kampanji započinje kada napadači namame žrtve na phishing stranice koje oponašaju legitimne Google CAPTCHA verifikacijske stranice. Ove stranice predstavljene su kao neophodan korak za potvrdu identiteta, obmanjujući korisnike da vjeruju kako završavaju standardni sigurnosni pregled.
Nakon što korisnik klikne na gumb „Verificiraj“, napad postaje zavaravajući. U pozadini, skrivena JavaScript funkcija se aktivira, kopirajući base64-encoded PowerShell komandu na korisničku odjeću bez njihova znanja. Phishing stranica tada daje upute korisniku da izvede neuobičajene korake, poput otvaranja dijaloškog okvira Run (Win+R) i lijepljenja kopirane komande. Kada se ove upute slijede, PowerShell komanda se izvršava u skrivenom prozoru, što je korisnicima gotovo nevidljivo, otežavajući im otkrivanje napada.
Posljedice infekcije
Skrivena PowerShell komanda glavni je oslonac napada. Ona se povezuje s udaljenim serverom kako bi preuzela dodatni sadržaj, kao što je tekstualna datoteka (a.txt) koja sadrži upute za preuzimanje i izvršavanje Lumma Stealer malwarea. Kada ovaj malware bude instaliran na sustavu, uspostavlja veze s domenama kontroliranim od strane napadača, omogućujući im da kompromitiraju sustav, ukradu osjetljive podatke i potencijalno pokrenu daljnje zloćudne aktivnosti.
Kako se zaštititi od ovog phishing napada
Za zaštitu od ove phishing kampanje, korisnici i organizacije moraju prioritizirati sigurnosnu svijest i implementirati proaktivne mjere zaštite.
- Obrazovanje korisnika: Važno je educirati korisnike o opasnostima praćenja sumnjivih uputa, posebno kada se od njih traži kopiranje i lijepljenje nepoznatih komandi.
- Robusna zaštita na radnoj stanici: S obzirom na to da napadači u ovu kampanju snažno oslanjaju na PowerShell, organizacije trebaju osigurati da njihova rješenja za sigurnost mogu prepoznati i blokirati ove aktivnosti.
- Praćenje mrežnog prometa: Organizacije bi trebale aktivno pratiti mrežni promet kako bi uočile sumnjive aktivnosti, osobito veze s novoregistriranim ili nepoznatim domenama.
- Ažuriranje sustava: Redovita ažuriranja osiguravaju da su poznate ranjivosti riješene, čime se smanjuje prilika za napadače da iskoriste zastarjeli softver.
Zaključak
Ova nova taktika je posebno opasna jer se oslanja na povjerenje korisnika u široko prepoznate CAPTCHA verifikacije. Prikrivajući zloćudnu aktivnost kao rutinski sigurnosni pregled, napadači mogu lako prevariti korisnike da izvrše štetne komande na svojim sustavima. Što je još zabrinjavajuće, ova tehnika, koja trenutno distribuira Lumma Stealer, može se prilagoditi za širenje drugih vrsta malwarea, čineći je iznimno svestranom i evoluirajućom prijetnjom, kako je istaknuo Anshuman Das, istraživač sigurnosti u CloudSEK.
