CloudSek Lumma Stealer yeni və təhlükəli bir taktika aşkar etdi, Windovs istifadəçilər üçün ciddi təhlükədədir. Bu yeni metod Lumma Stealer kaspersini yaydırmaq üçün deceptiv insan doğrulama səhifələri istifadə edir ki, istifadəçiləri zararlı əmr icra etməyə fikirləndirir. Kampaniya əsasən Lumma Stealer kaspersini yaymağa mərkəz göstərir, lakin metodoloji olaraq çeşitli digər zararlı proqramları göndərmək üçün adapte edilə bilər.

Phishing kampaniyasının işləməsi
Kampaniya Amazon S3 kimi etibarlı platformaları və müxtəlif Məzmun Çatdırılma Şəbəkələrini (CDN) istifadə edir, gərgin kaspers təhluke səhifələrini qəbul etmək üçün, ilk icra xidmətlərini yükləyən modulyar kaspers çatdırılma sisteminə əsaslanır. Kampaniyanın infeksiya zinciri təhlükəli fəaliyyət iqtisadiyyatlarını gizlilik olmadan lisenziya ticarətçilərini saflara çəkməklə başlayır.

Qeyri-adi təhlükəli koda əmr icra etmək üçün istifadəçiləri təklif etmək üçün söyüd cəmiyyəti Beynləri işə salır. Bu kodekslər standart təhlükəsizlik yoxlamasını yerinə yetirdiklərini düşünürək, istifadəçiləri aldadır. Səmimi üzümlü düz yumru oynayır.

Ardınca fəal istifadəci “Doğrula” düyməsini basanda, gizli JavaScript funksiyası arxa planda fəallığı aktivləşdirir, istifadəçinin bilgisi olmadan base64 kodlašdırılmış PowerShell əmrini istifadəçinin alt aləhnəsinə kopyalayır. Phishing səhifəsi sonra istifadəçiyə batıl bir növ tələblə (Win+R) açılmış və kopyalanmış əmri yapışdırmağını tələb edir. Nümunə üçün, PowerShell əmirinin gizli pəncərədə işlədilməsinə gətirən bir neçə aşağıdakı addımı icra etdikdə. Buzzuka edəcək. Gizlin PowerShell əmrinin əsası hücumdur. Bu yeni taktika xüsusi bir və uğursuzdur çünki istifadəçilərin çox vaxt gərgin qəbul etiketləri üzərində etibar etmələrindən istifadəçi kimi olduğunu göstərir. Həqiqətən rutin təhlükəsizlik yoxlamasının arxasında ziyanlı aktivliyaları gizlədərək, hücumlar asan canlandıra bilərlər.

Bu günlü bir problem olduğu üçün, köhnəlmiş proqramlardan istifadə etmək effektiv bir müdafiə mekanizmidir. Bilinməyən səhifənin əlaqələndirilməsi məsələsinin üzərinə ciddi diqqət verilməlidir. Yeni qeydiyyata alınmıs və ya ola bilməz domenlər ilə əlaqələndirilməmiş marşrut məşqləri ilə marşrut müzakirələri, əksər hallarda maddi data itirilməsi və ya maddi data itirilməsini istifadə etmək üçün iyşlidirlər. Son olaraq, sistemlərin ən son sürümlərlə yenilənməsi vacib bir müdafiə mekanizmidir. Yeni yeniliklər təhlükəli sürümləri məhdud etdikləri üçün, mühəndislər yaşlı proqramların dağıtılmasını arzu edə bilər. “Bu yeni taktika xüsusilə təhlükəlidir, onu ki, kullanıcıların çox vaxt sayta daxil oldugu capcha kolleksiyalarına inananlar var. Gözə görünməyən fəaliyyətin bir rutin təhlükəsizlik yoxlaması olduğunu düşündükdə, hücumçılar onları sisteminizdə zararlı əmrin icra olunmasına asanlıqla aldadabilmələr. Daha da dəhşətli olanı budur ki, hazırda Lumma Stealer yaymaq, başqa növ maliyyə kaspersləri almaq üçün adaptasiya oluna bilər, bu onu çox saylı və inkar məlumatı edən təhlükə kimi edir”, dedi Anshuman Das, Security Researcher at CloudSEK.

Daha maraqlı olacaq
Exela Stealer Discord istifadə edir Windows istifadəçilərin məlumatlarını çalmagaLumma Stealer malware-ın GitHub rəylərinə əlaqəli olduğu Cürmizlər videolarından istifadə edənlər ohro təhlükəli müəyyənləşirlər