CloudSEK diz que o malware Lumma Stealer se espalha para dispositivos Windows por meio de sites falsos de verificação humana

Lumma Stealer, um malware de roubo de informações recentemente identificado, é distribuído aos usuários por meio de sites falsos de verificação humana. De acordo com pesquisadores da empresa de segurança cibernética CloudSEK, o malware tem como alvo dispositivos Windows e tem como objetivo roubar informações confidenciais do dispositivo infectado. É preocupante que os pesquisadores tenham descoberto muitos sites de phishing que implantam páginas de verificação falsas para induzir os usuários a baixar malware. Os pesquisadores da CloudSEK alertaram as organizações para implementar soluções de segurança de endpoint e treinar funcionários e usuários nesta nova tática de engenharia social.

O malware Lumma Stealer é distribuído usando uma nova técnica de phishing

De acordo com CloudSEK relatórioDescobriu-se que muitos sites ativos estão espalhando o malware Lumma Stealer. A tecnologia veio primeiro ar livre pela Unit42 da Palo Alto Networks, uma empresa de segurança cibernética, mas acredita-se agora que o escopo da cadeia de distribuição seja muito maior do que se pensava anteriormente.

Os invasores criaram vários sites maliciosos e adicionaram um sistema falso de verificação humana semelhante ao teste de Turing público totalmente automatizado do Google para notificar o site CAPTCHA (Computers and Humans Apart). No entanto, ao contrário de uma página CAPTCHA normal, onde os usuários devem marcar algumas caixas ou realizar tarefas semelhantes baseadas em padrões para provar que não são um bot, as páginas falsas instruem o usuário a executar comandos incomuns.

Em um caso, os pesquisadores detectaram uma página de verificação falsa solicitando aos usuários que executassem um script do PowerShell. Os scripts do PowerShell contêm vários comandos que você pode executar na caixa de diálogo Executar. Nesse caso, constatou-se que os comandos extraíam conteúdo de um arquivo a.txt hospedado em um servidor remoto. Isso baixou e descompactou o arquivo no Windows, infectando-o com Lumma Stealer.

O relatório também listou URLs maliciosos que foram detectados distribuindo malware para usuários desavisados. No entanto, esta não é uma lista completa e pode haver mais sites de ataque desse tipo.

• hxxps[://]heróico-gênio-2b372e[.]Netlife[.]aplicativo/verifique com[.]HTML

• hxxps[://]fipydslaongos[.]b-cdn[.]net/por favor verifique com[.]HTML

• hxxps[://]sdkjhfdskjnck[.]pág.3[.]Amazonas[.]com/sistema de verificação humana[.]HTML

• hxxps[://]verificarhuman476[.]b-cdn[.]rede/sistema de verificação humana[.]HTML

• hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]r2[.]dev/sistema de verificação humana[.]HTML

• hxxps[://]verificarhuman476[.]b-cdn[.]rede/sistema de verificação humana[.]HTML

• hxxps[://]novas zonas de vídeo[.]cliques/verdade[.]HTML

• hxxps[://]capítulo 3[.]dlvideosfre[.]clique/sistema de verificação humana[.]HTML

• hxxps[://]novas zonas de vídeo[.]cliques/verdade[.]HTML

• hxxps[://]offsetvideofree[.]colidir

Os pesquisadores também observaram que redes de entrega de conteúdo (CDNs) foram usadas para espalhar páginas de verificação falsas. Além disso, os invasores foram detectados usando codificação Base64 e manipulação da área de transferência para evitar demonstração. Usando a mesma técnica, também é possível distribuir outros malwares, embora tais casos não tenham sido observados até o momento.

Como o ataque depende de técnicas de phishing, nenhum patch de segurança pode impedir a infecção dos dispositivos. No entanto, existem algumas etapas que os usuários e organizações podem seguir para se protegerem contra o malware que rouba Lumma.

Segundo o relatório, usuários e funcionários devem estar atentos a essa tática de phishing para evitar cair nessa. Além disso, as organizações devem implementar e manter soluções robustas de proteção de endpoints para detectar e bloquear ataques baseados em PowerShell. Além disso, também deve ser útil atualizar e corrigir regularmente seus sistemas para reduzir as vulnerabilidades de segurança que o malware Lumma Stealer pode explorar.