Sicherheitsforscher entdecken eine Kampagne zur Verbreitung von Lumma Stealer-Malware

Eine gefälschte CAPTCHA-Seite enthält JavaScript, das bösartigen Code in die Zwischenablage kopiert

Um das gefälschte CAPTCHA „zu lösen“, werden Benutzer aufgefordert, den Code in der CMD einzufügen und auszuführen

Gefälschte CAPTCHA-Seiten werden verwendet, um Opfer dazu zu bringen, die Lumma-Infostealer-Malware herunterzuladen und auszuführen. Sicherheitsforscher des Guardio Labs entdeckten kürzlich eine umfangreiche bösartige Operation namens „DeceptionAds“, die Millionen von Menschen ins Visier nimmt. Die Kampagne missbraucht zwei legitime Dienste, das Monetag-Werbenetzwerk und BeMob, eine cloudbasierte Leistungsüberwachungsplattform. Sie beginnt mit gefälschten Anzeigen, die Dinge bewerben, die für das Publikum der Host-Seite ansprechend sind, wie gefälschte Angebote, Downloads oder verschiedene Dienstleistungen – wobei Raubkopier-Streaming- und Softwareplattformen anscheinend zu den häufigsten Themen gehören.

Vane Viper
Wenn das Opfer auf die Anzeige klickt, wird es über den BeMob-Tarnungsdienst zu einer gefälschten CAPTCHA-Seite umgeleitet. Dies erschwert die Moderation, da BeMob ein legitimer Dienst ist und daher nicht standardmäßig aus dem Monetag-Werbenetzwerk entfernt wird. „Indem die Angreifer dem Monetag-Ad-Management-System anstelle der direkten gefälschten CAPTCHA-Seite eine unbedenkliche BeMob-URL zuführten, nutzten sie den Ruf von BeMob, um die Inhaltsmoderation von Monetag zu erschweren“, sagte Nati Tal, Leiter des Guardio Labs, in einem Bericht. Die CAPTCHA-Seite enthält ein Stück JavaScript-Code, das einen bösartigen PowerShell-Einzeilerbefehl in die Zwischenablage kopiert. Das Opfer muss jedoch immer noch diesen Code in die CMD einfügen und ausführen, was den CAPTCHA-„Lösungsansatz“ darstellt. Um das CAPTCHA zu lösen, müssen Benutzer den Windows-Ausführungsdialog aufrufen, STRG + V (einfügen) drücken und Eingeben drücken.

Dies führt den Befehl aus, der Lumma Stealer herunterlädt und ausführt. Die Gruppe hinter dem Angriff nennt sich Vane Viper. Lumma ist ein beliebter Infostealer in der Untergrund-Community. Er ist in der Lage, eine Vielzahl sensitiver Informationen zu stehlen, einschließlich Kryptowährungsbrieftaschen, Browserdaten, E-Mail-Anmeldeinformationen, Finanzinformationen, FTP-Client-Daten und Systemsinformationen. Als Monetag und BeMob über die Kampagne informiert wurden, griffen beide Unternehmen ein, um das Problem anzugehen. Monetag entfernte 200 Konten, während BeMob die Kampagne in vier Tagen einstellte.

Via BleepingComputer