O software Lumma Stealer se espalha para dispositivos Windows por meio de sites falsos de verificação humana, afirma CloudSEK

Lumma Stealer, um malware de roubo de informações recentemente identificado, é distribuído aos usuários por meio de sites de verificação falsos. De acordo com pesquisadores da empresa de segurança cibernética CloudSEK, o malware tem como alvo dispositivos Windows e tem como objetivo roubar informações confidenciais do dispositivo infectado. É preocupante que os pesquisadores tenham descoberto muitos sites de phishing que implantam essas páginas de verificação falsas para induzir os usuários a baixar malware. Os pesquisadores da CloudSEK alertaram as organizações para implementar soluções de proteção de endpoint e treinar funcionários e usuários nesta nova tática de engenharia social.

O software Lumma Stealer é distribuído usando uma nova técnica de phishing

De acordo com CloudSEK relatórioMuitos sites ativos foram descobertos espalhando o malware Lumma Stealer. Esta técnica foi usada pela primeira vez ar livre pela Unit42 da Palo Alto Networks, uma empresa de segurança cibernética, mas acredita-se agora que o escopo da cadeia de distribuição seja muito maior do que se pensava anteriormente.

Os invasores criaram vários sites maliciosos e adicionaram um sistema falso de verificação humana semelhante ao teste de Turing Público Completamente Automatizado do Google para diferenciar computadores e humanos (CAPTCHA). No entanto, ao contrário de uma página CAPTCHA normal, onde os usuários devem marcar algumas caixas ou realizar tarefas semelhantes baseadas em padrões para provar que não são um bot, as páginas falsas instruem o usuário a executar vários comandos incomuns.

Em um caso, os pesquisadores detectaram uma página de verificação falsa solicitando aos usuários que executassem um script do PowerShell. Os scripts do PowerShell contêm uma série de comandos que você pode executar na caixa de diálogo Executar. Nesse caso, foram encontrados comandos para recuperar conteúdo de um arquivo a.txt hospedado em um servidor remoto. Isso baixou o arquivo e o extraiu no Windows, infectando-o com o Lumma Stealer.

O relatório também listou URLs maliciosos que espalham malware para usuários desavisados. No entanto, esta não é uma lista completa e pode haver mais sites desse tipo realizando o ataque.

• hxxps[://]heróico-gênio-2b372e[.]vida na rede[.]aplicativo/verifique com[.]HTML

• hxxps[://]fipydslaongos[.]b-canadense[.]rede/verifique com[.]HTML

• hxxps[://]sdkjhfdskjnck[.]pág.3[.]Amazonas[.]com/sistema de verificação humana[.]HTML

• hxxps[://]verificarhuman476[.]b-canadense[.]rede/sistema de verificação humana[.]HTML

• hxxps[://]Publicação-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/sistema de verificação humana[.]HTML

• hxxps[://]verificarhuman476[.]b-canadense[.]rede/sistema de verificação humana[.]HTML

• hxxps[://]novas zonas de vídeo[.]cliques/verdade[.]HTML

• hxxps[://]capítulo 3[.]dlvideosfree[.]clique/sistema de verificação humana[.]HTML

• hxxps[://]novas zonas de vídeo[.]cliques/verdade[.]HTML

• hxxps[://]offsetwideofre[.]colidir

Os pesquisadores também observaram que redes de entrega de conteúdo (CDNs) foram usadas para espalhar esses sites de verificação falsos. Além disso, os invasores foram detectados usando codificação base64 e manipulação da área de transferência para evitar manifestações. Também é possível distribuir outros malwares usando a mesma técnica, embora nenhum caso desse tipo tenha sido observado até agora.

Como o modus operandi do ataque depende de técnicas de phishing, nenhum patch de segurança pode impedir que os dispositivos sejam infectados. No entanto, existem certas etapas que os usuários e organizações podem seguir para se protegerem contra o malware ladrão Lumma.

Segundo o relatório, usuários e funcionários devem estar atentos a essa tática de phishing para evitar cair nela. Além disso, as organizações devem implementar e manter soluções robustas de proteção de endpoints para detectar e bloquear ataques baseados em PowerShell. Além disso, atualizar e corrigir regularmente seus sistemas para reduzir vulnerabilidades que o malware Lumma Stealer pode explorar também deve ajudar.