Опасная игрушка в руках мошенников

Популярный инструмент мошенников для кражи данных Lumma Stealer получил серьёзное обновление, делающее его ещё более опасным. Злоумышленники теперь используют фишинговые страницы проверки CAPTCHA, чтобы обмануть пользователей и заставить их выполнить вредоносные команды PowerShell. Так, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева предупреждает, что всеми нелюбимый способ борьбы с ботами и спам-атаками на веб-страницы стал игрушкой в руках мошенников.

«Мошенники в диалоговом окне фейк-скрипта CAPTCHA предлагают пользователю выполнить следующие действия: вставить выведенную на экран вредоносную команду PowerShell в диалоговое окно "Выполнить" в Windows или в интерфейс командной строки. После реализации инструкции происходит магия запуска ВПО: на устройство прилетает полезная нагрузка, замаскированная под "ArtistSponsorship.exe", а исполняемый файл загружает ряд скриптов для сбора данных из временных каталогов пользователя (%temp%) и последующей эксфильтрации собранных данных. Фиксировалась передача файла размером 6,37 МБ данных, что говорит о продвинутом потенциале стилера», — объясняет Дмитриева.

«Другой вектор атаки — заставить пользователя открыть вредоносный PDF с ярлыком .lnk, который запускает скрипт PowerShell. Этот скрипт использует шифрование AES и динамическое разрешение API и маскирует свои действия с помощью кодировки base64», — отметила эксперт.

По оценкам Netskope Threat Labs, в этой кампании может быть задействовано около 5000 поддельных сайтов с вредоносной CAPTCHA, что увеличивает масштабы угрозы.

Lumma Stealer остаётся серьёзной угрозой в 2025 году, что, в свою очередь, накладывает необходимость для компаний использовать расширенный поведенческий анализ и тщательно отслеживать сетевую активность на предмет признаков связи с С2 или утечки данных, чтобы опережать работу стилеров.

«Для детектирования подобных угроз может помочь продукт выявления аномальной активности на пользовательских хостах в контексте поведенческого анализа. С этим поможет продукт Ankey ASAP, который предлагает компания "Газинформсервис". Однако данные инструменты злоумышленников предполагают и проведение обучения среди пользователей — врага нужно идентифицировать "на берегу"», — заключает киберспециалист.