- Фишинговая кампания имитирует CAPTCHA для доставки скрытых команд вредоносного ПО.
- Команда PowerShell, скрытая в проверке, приводит к атаке Lumma Stealer
- Чтобы предотвратить такие атаки, важно информировать пользователей о тактике фишинга.
CloudSek обнаружил сложный метод распространения вредоносного ПО Lumma Stealer, представляющего серьезную угрозу для пользователей Windows.
Этот метод основан на вводящих в заблуждение страницах проверки человеком, которые обманом заставляют пользователей непреднамеренно выполнять вредоносные команды.
Хотя кампания в первую очередь ориентирована на распространение вредоносного ПО Lumma Stealer, ее методологию потенциально можно адаптировать для распространения множества других вредоносных программ.
Вот как работает фишинговая кампания
Кампания использует надежные платформы, такие как Amazon S3 и различные сети доставки контента (CDN), для размещения фишинговых сайтов, используя модульную доставку вредоносного ПО, при которой исходный исполняемый файл загружает дополнительные компоненты или модули, что затрудняет обнаружение и анализ.
Цепочка заражения этой фишинговой кампании начинается с того, что злоумышленники заманивают жертв на фишинговые веб-сайты, имитирующие законные страницы проверки Google CAPTCHA. Эти сайты представлены как необходимый этап проверки личности и заставляют пользователей думать, что они выполняют стандартную проверку безопасности.
Атака принимает мошеннический характер, как только пользователь нажимает кнопку «Проверить». За кулисами активируется скрытая функция JavaScript, которая копирует команду PowerShell в кодировке Base64 в буфер обмена пользователя без его ведома. Затем фишинговая страница просит пользователя выполнить необычную последовательность шагов, например открыть диалоговое окно «Выполнить» (Win+R) и вставить скопированную команду. После выполнения этих инструкций команда PowerShell выполняется в скрытом окне, невидимом для пользователя, что делает обнаружение жертвы практически невозможным.
Скрытая команда PowerShell — это ядро атаки. Он подключается к удаленному серверу для загрузки дополнительного контента, например текстового файла (txt), содержащего инструкции по получению и запуску вредоносного ПО Lumma Stealer. После установки в систему это вредоносное ПО устанавливает соединения с доменами, контролируемыми злоумышленником. Это позволяет злоумышленникам скомпрометировать систему, украсть конфиденциальные данные и потенциально запустить дальнейшие вредоносные действия.
Чтобы защититься от этой фишинговой кампании, как пользователи, так и организации должны уделять первоочередное внимание вопросам безопасности и внедрять превентивную защиту. Важнейшим первым шагом является обучение пользователей.
Мошеннический характер этих атак, замаскированных под законные процессы проверки, демонстрирует важность информирования пользователей об опасностях следования подозрительным подсказкам, особенно тем, которые просят их скопировать и вставить неизвестные команды. Пользователей необходимо научить распознавать тактику фишинга и подвергать сомнению неожиданные проверки CAPTCHA или неизвестные инструкции, выполняющие системные команды.
Помимо разведки, для защиты от атак с использованием PowerShell важно обеспечить надежную защиту конечных точек. Поскольку злоумышленники в этой кампании в значительной степени полагаются на PowerShell для выполнения вредоносного кода, организации должны убедиться, что их решения безопасности способны обнаруживать и блокировать эту активность. Усовершенствованные инструменты защиты конечных точек с поведенческим анализом и мониторингом в реальном времени могут обнаружить необычное выполнение команд и предотвратить загрузку и установку вредоносного ПО.
Организациям также следует применять упреждающий подход, отслеживая сетевой трафик на предмет подозрительной активности. Командам безопасности необходимо уделять пристальное внимание подключениям к недавно зарегистрированным или необычным доменам, которые часто используются злоумышленниками для распространения вредоносного ПО или кражи конфиденциальных данных.
Наконец, поддержание систем в актуальном состоянии с использованием последних исправлений является важнейшим защитным механизмом. Регулярные обновления гарантируют устранение известных уязвимостей, ограничивая возможности злоумышленников использовать устаревшее программное обеспечение для распространения вредоносных программ, таких как Lumma Stealer.
«Эта новая тактика особенно опасна, поскольку она использует доверие пользователей к широко признанным проверкам CAPTCHA, с которыми они регулярно сталкиваются в Интернете. Скрывая вредоносную активность за, казалось бы, обычной проверкой безопасности, злоумышленники могут легко обманом заставить пользователей выполнять вредоносные команды на своем устройстве». может стать весьма универсальной и развивающейся угрозой», — сказал Аншуман Дас, исследователь безопасности в CloudSEK.
Может быть, тебе это тоже нравится
