Как злоумышленники обходят защиту браузера и обманывают пользователей, заставляя их самостоятельно запускать вредоносное ПО? Новый всплеск атак с использованием поддельных CAPTCHA свидетельствует о продолжающейся эволюции методов киберпреступников, стремящихся обойти традиционные механизмы защиты и проникнуть в сети организаций.
По данным Netskope Threat Labs, последние кампании распространяют Lumma Stealer, мощное вредоносное ПО, предназначенное для кражи конфиденциальной информации. Leandro Fróes, старший исследователь угроз в Netskope Threat Labs, подчеркивает, что эти атаки нацелены на различные отрасли по всему миру, включая здравоохранение, банковское дело, маркетинг и телекоммуникации. Особенно пострадали организации в Аргентине, Колумбии, США и на Филиппинах.
Первоначальный вектор атаки включает компрометацию веб-сайтов и перенаправление пользователей на поддельные страницы CAPTCHA. Жертвам предлагается скопировать и вставить команду в строку «Выполнить» Windows. Эта команда использует
Lumma Stealer, распространяющийся как malware-as-a-service (MaaS), использует различные методы доставки и полезные нагрузки. В недавней кампании Lumma распространялся через примерно 1000 поддельных доменов, имитирующих Reddit и WeTransfer. Эти домены перенаправляют пользователей на загрузку защищенных паролем архивов, содержащих AutoIT-дроппер, получивший название SelfAU3 Dropper, который выполняет вредоносное ПО.
Примечательно, что в начале 2023 года была замечена аналогичная техника, когда злоумышленники использовали более 1300 доменов, маскирующихся под AnyDesk, для распространения вредоносного ПО Vidar Stealer.
Помимо вредоносного ПО, активно развиваются и фишинговые инструменты. Tycoon 2FA, обновленный Phishing-as-a-Service (PhaaS) toolkit, обладает расширенными функциями для затруднения анализа средствами защиты. Он использует легитимные учетные записи электронной почты (возможно, взломанные), обнаруживает автоматизированные скрипты безопасности, отслеживает нажатия клавиш, указывающие на веб-инспекцию, и отключает контекстное меню правой кнопки мыши.
Компания Sekoia обнаружила активность Tycoon 2FA, а исследователь crep1x предоставил подробную информацию о его функциях.
Кроме того, исследователи из Barracuda Networks и SlashNext зафиксировали случаи эксплуатации Gravatar для проведения атак по сбору учетных данных. Stephen Kowski, Field CTO в SlashNext, подчеркивает, что злоумышленники создают поддельные профили, напоминающие легитимные сервисы, такие как AT&T, Comcast, Eastlink, Infinity, Kojeko и Proton Mail, чтобы обманом заставить пользователей раскрывать свои учетные данные.
Эти атаки подчеркивают необходимость бдительности пользователей и применения многоуровневого подхода к безопасности. Организациям следует обучать своих сотрудников распознавать признаки фишинга и вредоносного ПО, а также использовать современные инструменты защиты, способные обнаруживать и блокировать подобные угрозы. Анализ угроз и обмен информацией играют ключевую роль в противодействии этим эволюционирующим кампаниям.
Изображение носит иллюстративный характер
По данным Netskope Threat Labs, последние кампании распространяют Lumma Stealer, мощное вредоносное ПО, предназначенное для кражи конфиденциальной информации. Leandro Fróes, старший исследователь угроз в Netskope Threat Labs, подчеркивает, что эти атаки нацелены на различные отрасли по всему миру, включая здравоохранение, банковское дело, маркетинг и телекоммуникации. Особенно пострадали организации в Аргентине, Колумбии, США и на Филиппинах.
Первоначальный вектор атаки включает компрометацию веб-сайтов и перенаправление пользователей на поддельные страницы CAPTCHA. Жертвам предлагается скопировать и вставить команду в строку «Выполнить» Windows. Эта команда использует
mshta.exe, легитимный бинарный файл Windows, для загрузки и выполнения HTA-файла с удаленного сервера. Затем HTA-файл запускает команду PowerShell, которая, в свою очередь, запускает скрипт PowerShell следующего этапа. Этот скрипт распаковывает второй скрипт PowerShell, который декодирует и загружает вредоносную нагрузку Lumma. Хитроумная цепочка загрузок позволяет обойти Antimalware Scan Interface (AMSI) Windows, тем самым уклоняясь от обнаружения антивирусными программами. Lumma Stealer, распространяющийся как malware-as-a-service (MaaS), использует различные методы доставки и полезные нагрузки. В недавней кампании Lumma распространялся через примерно 1000 поддельных доменов, имитирующих Reddit и WeTransfer. Эти домены перенаправляют пользователей на загрузку защищенных паролем архивов, содержащих AutoIT-дроппер, получивший название SelfAU3 Dropper, который выполняет вредоносное ПО.
Примечательно, что в начале 2023 года была замечена аналогичная техника, когда злоумышленники использовали более 1300 доменов, маскирующихся под AnyDesk, для распространения вредоносного ПО Vidar Stealer.
Помимо вредоносного ПО, активно развиваются и фишинговые инструменты. Tycoon 2FA, обновленный Phishing-as-a-Service (PhaaS) toolkit, обладает расширенными функциями для затруднения анализа средствами защиты. Он использует легитимные учетные записи электронной почты (возможно, взломанные), обнаруживает автоматизированные скрипты безопасности, отслеживает нажатия клавиш, указывающие на веб-инспекцию, и отключает контекстное меню правой кнопки мыши.
Компания Sekoia обнаружила активность Tycoon 2FA, а исследователь crep1x предоставил подробную информацию о его функциях.
Кроме того, исследователи из Barracuda Networks и SlashNext зафиксировали случаи эксплуатации Gravatar для проведения атак по сбору учетных данных. Stephen Kowski, Field CTO в SlashNext, подчеркивает, что злоумышленники создают поддельные профили, напоминающие легитимные сервисы, такие как AT&T, Comcast, Eastlink, Infinity, Kojeko и Proton Mail, чтобы обманом заставить пользователей раскрывать свои учетные данные.
Эти атаки подчеркивают необходимость бдительности пользователей и применения многоуровневого подхода к безопасности. Организациям следует обучать своих сотрудников распознавать признаки фишинга и вредоносного ПО, а также использовать современные инструменты защиты, способные обнаруживать и блокировать подобные угрозы. Анализ угроз и обмен информацией играют ключевую роль в противодействии этим эволюционирующим кампаниям.
