Badacze z Netscope Threat Labs zaobserwowali nową kampanię z wykorzystaniem złośliwego oprogramowania Lumma Stealer. Jest to oprogramowanie dostępne od co najmniej 2022 roku działające w modelu malware-as-a-service (MaaS). Najnowsza kampania wykorzystuje metodę pozwalającą na użycie fałszywej weryfikacji CAPTCHA. Z pomocą tej metody, atakujący dostarczali malware.
Badacze zaobserwowali aktywność tego ataku na całym świecie oraz w różnych branżach. Najbardziej dotknięta branża to telekomunikacja.
Co udało się ustalić?
Kampania z wykorzystaniem fałszywych CAPTCHA używa wielu nowych adresów stron www i nowych ładunków.
W celu zainfekowania stacji użytkownik jest proszony o wykonanie polecenia ze schowka. Ataki używające tej metody są używane od sierpnia 2024 roku
Jeden z payloadów zawiera fragment, który jest oparty na narzędziu open-source służącym do omijania skanowania systemu Windows AMSI ( Antimalware Scan Interface ) https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
Infekcja ma swój początek na fałszywej stronie internetowej. Po wejściu na specjalnie przygotowaną stronę wyświetlany jest komunikat o konieczności weryfikacji, że użytkownik nie jest botem. Na ekranie wyświetlają się instrukcje mające na celu przeprowadzić użytkownika przez proces weryfikacji. Instrukcja zawierała 3 kroki. Pierwszym z nich było otworzenie okna uruchamiania komend za pomocą przycisku Windows + R, następnie ofiara musiała wkleić zawartość schowka za pomocą kombinacji Ctrl + V. Schowek był automatycznie wypełniany treścią komendy. Odpowiadał za to fragment kodu napisany w javascript i użyty na złośliwej stronie. Ostatni krok to wykonanie tego polecenia poprzez naciśnięcie przycisku Enter. Te wszystkie etapy były niezbędne do uruchomienia kolejnych kroków.
Kod, który był wklejany przez użytkowników opierał się na wbudowanym w Windows narzędzie MSHTA.exe, które służy do pobierania i uruchamiania pliku HTA ze zdalnych serwerów. Używając tej taktyki, pobierając i wykonując kod, który jest złośliwy pomijamy jakiekolwiek mechanizmy bezpieczeństwa zawarte w przeglądarce.
W skopiowanej komendzie pojawiały się rozszerzenia znanych typów plików jak na przykład mp3, jednak nie był to typowy plik mp3. Plik zawierał tylko bajty sugerujące określony typ pliku, dodatkowe losowe bajty i złośliwy fragment kodu javascript. Po wykonaniu, aby zdekodować i wykonać część danych ją kod JS wywołuje Powershell.
W kolejnym etapie ładunek, który był pobierany był nieco większy i miał rozmiar ponad 8 MB. Kod jest zaciemniony, więc są wywoływane kolejne funkcje mające na celu jego zdekodowanie. Po wszystkim, oprogramowanie próbuje uniknąć skanowania poprzez AMSI usuwając ciąg “AmsiScanBuffer ” z modułu “clr.dll ” w pamięci, aby zapobiec jego wywołaniu. W kolejnych krokach skrypt dekoduje część danych zakodowaną w base64 a to z kolei powoduje powstanie pliku PE w ostatnim kroku, który to plik następnie jest załadowany i wykonywany przez skrypt.
Opisany wyżej Lumma Stealer działa w modelu malware-as-a-service i w ostatnich miesiącach jest bardzo aktywny. Wykorzystany sposób infekcji sprawia, że wykrywanie i blokowanie tego typu zagrożeń jest bardziej skomplikowane.
Wszystkie IOC powiązane Lumma Stealerem można znaleźć na Githubie grupy NetskopeThreatLabs.
Więcej szczegółów o Lumma Stealer znajdziesz w serwisie Malpedia.
Źródło: www.netskope.com
