CloudSek, Windows kullanıcıları için ciddi bir tehdit oluşturan Lumma Stealer kötü amaçlı yazılımını dağıtma konusunda sofistike bir yöntem keşfetti. Bu teknik, kullanıcıları zararlı komutları bilmeksizin uygulamaya kandıran aldatıcı insan doğrulama sayfalarına dayanmaktadır. Kampanya genellikle Lumma Stealer kötü amaçlı yazılımını yaymayı hedefliyor olsa da, metodolojisi geniş bir yelpazede başka kötü amaçlı yazılımların dağıtılmasına uygun olabilir.

Phishing kampanyası nasıl çalışıyor?
Bu kampanya, Amazon S3 gibi güvenilir platformları ve çeşitli İçerik Dağıtım Ağları (CDN’ler) gibi platformları kullanarak phishing siteleri barındırıyor ve başlangıçta yürütülen kötü amaçlı yazılımın ek bileşenleri veya modülleri indiren modüler kötü amaçlı yazılım dağıtımını kullanıyor. Bu da algılama ve analiz çabalarını karmaşıklaştırıyor. Bu phishing kampanyasındaki enfeksiyon zinciri, tehdit aktörlerinin kurbanları, meşru Google CAPTCHA doğrulama sayfalarını taklit eden phishing sitelerine çekmeleriyle başlıyor. Bu sayfalar, kullanıcıları standart bir güvenlik kontrolü yaptıklarına inandırarak zorunlu kimlik doğrulama adımı gibi sunuluyor. Kullanıcı, “Doğrula” düğmesine tıkladığında saldırı daha aldatıcı bir döneme giriyor. Perde arkasında, gizli bir JavaScript işlevi etkinleşiyor ve kullanıcının bilgisi olmadan base64 ile kodlanmış bir PowerShell komutunu kullanıcının panosuna kopyalıyor. Phishing sayfası daha sonra kullanıcıya, çalıştırma diyaloğu kutusunu (Win+R) açma gibi olağandışı bir dizi adımı yerine getirmesini söylüyor. Bu talimatlar takip edildiğinde, PowerShell komutu gizli bir pencerede yürütülüyor ve kullanıcı tarafından görünmez hale getiriliyor, bu da kurbanın neredeyse imkansız bir şekilde tespit etmesini sağlıyor. Gizli PowerShell komutu saldırının özünü oluşturuyor. Bununla uzak bir sunucuya bağlanarak, Lumma Stealer kötü amaçlı yazılımını almak için talimatlar içeren bir metin dosyası (a.txt) indiriyor. Bu kötü amaçlı yazılım bir kere sisteme indirildikten sonra, saldırgan kontrol ettiği alanlara bağlantılar kuruyor. Bu, saldırganların sistemi tehlikeye atmasına, hassas verileri çalmasına ve muhtemelen daha fazla kötü amaçlı aktivite başlatmasına olanak tanıyor. Bu phishing kampanyasına karşı koymak için hem kullanıcıların hem de organizasyonların güvenlik farkındalığına ve proaktif savunmaları hayata geçirmelerine öncelik vermesi gerekir. Kritik ilk adım, kullanıcı eğitimidir.

Bu saldırıların aldatıcı doğası – meşru doğrulama süreçleri gibi maskelenmiş olmaları – kullanıcıları şüpheli ipuçlarını takip etmenin tehlikeleri konusunda bilgilendirmenin önemini gösteriyor. Kullanıcılar phishing taktiklerini tanımayı ve bilinmeyen komutları kopyalayıp yapıştırmaları istendiğinde özellikle şüpheli CAPTCHA doğrulamalarını veya tanıdık olmayan sistemi çalıştırma talimatlarını sorgulamaları gerekiyor. Eğitimin yanı sıra, PowerShell tabanlı saldırılara karşı sağlam bir uç nokta koruması da gerekli. Bu kampanyadaki saldırganlar kötü niyetli kodları yürütmek için ağırlıklı olarak PowerShell’a güveniyorlar, dolayısıyla organizasyonlar güvenlik çözümlerinin bu faaliyetleri algılayıp engelleyebilecek kapasitede olduğundan emin olmalıdır. Davranış analizi ve gerçek zamanlı izleme özelliklerine sahip gelişmiş uç nokta koruma araçları, olağandışı komut yürütme faaliyetlerini tespit ederek, kötü amaçlı yazılımın indirilmesini ve yüklenmesini engellemeye yardımcı olabilir.

Organizasyonlar ayrıca şüpheli aktiviteyi belirlemek için ağ trafiğini de izlemelidir. Güvenlik ekipleri, kötü niyetli yazılımı dağıtmak veya hassas verileri çalmak için sıklıkla kullanılan yeni kayıtlı veya yaygın alanlarla kurulan bağlantılara dikkat etmelidir. Son olarak, sistemleri en son yama ve güncelleştirmelerle güncel tutmak önemli bir savunma mekanizmasıdır. Düzenli güncellemeler, bilinen güvenlik açıklarının ele alındığından emin olur ve kötü niyetli yazılımın Lumma Stealer gibi yayılma çabalarında eski yazılımı kullanma fırsatını sınırlar. CloudSEK’ten Güvenlik Araştırmacısı Anshuman Das, “Bu yeni taktik özellikle, kullanıcıların çevrimiçi olarak düzenli olarak karşılaştıkları geniş çapta tanınan CAPTCHA doğrulamalarına olan güvenlerini sömürdüğü için tehlikelidir. Kötü niyetli etkinlikleri rutin bir güvenlik kontrolü gibi sunarak, saldırganlar kullanıcıları sisteminde zararlı komutları uygulamaya kolayca kandırabilirler. Daha da endişe verici olan şey, şu anda Lumma Stealer’ı dağıtan bu teknik, başka türde kötü niyetli yazılımların yayılmasına adapte edilebilir, bu da oldukça esnek ve gelişen bir tehdit oluşturur” dedi. Ayrıca beğenebilirsin
Exela Stealer, Windows kullanıcısının verilerini çalmak için Discord’u kullanıyor.
Lumma Stealer malware’ı Github yorumlarıyla ilişkilendirildi.
Suçlular, kurbanları kandırmak için YouTube videolarını kullanıyor.