Новости Lumma и Amadey: дуэт троянцев маскируется под обычную капчу

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
QR-коды и ложные инструкции запускают скрытые процессы на устройствах.


8k9vszrnz7znci8gea56vf9yjnrq42th.jpg


Эксперты «Лаборатории Касперского» Для просмотра ссылки Войди или Зарегистрируйся новую схему, в которой злоумышленники используют поддельную «капчу» для распространения вредоносного ПО. Первоначально целевой аудиторией атакующих были геймеры, а вредоносное ПО распространялось через сайты с взломанными играми, заражая устройства стилером Lumma . Однако со временем схема получила развитие, и теперь «капча» встречается на различных интернет-ресурсах, включая сайты для взрослых, файлообменники, букмекерские платформы, а также на аниме-ресурсах и веб-приложениях с трафиковой монетизацией. Расширение каналов позволяет злоумышленникам охватить более широкую аудиторию.


70wi7chix3thuv8r90f1jtwdjeuk06xi.png


<span style="font-size: 9pt;">Капча с QR-кодом</span>

<h4>Распространение через рекламные сети</h4> Злоумышленники внедряют вредоносную «капчу» через рекламные сети, где присутствуют как безопасные, так и вредоносные предложения. В большинстве случаев при клике на любую область рекламного модуля пользователь перенаправляется на сайты с антивирусами или блокировщиками рекламы. Однако в отдельных случаях происходит перенаправление на страницы с поддельной «капчей», которая предлагает пройти проверку. Поддельная «капча», в отличие от настоящей, не служит для защиты от ботов и вместо этого используется как инструмент для манипуляции пользователем.

Некоторые виды «капчи» запрашивают отсканировать QR-код, ведущий на сомнительные ресурсы, такие как букмекерские сайты. В других случаях, при нажатии на кнопку «I'm not a robot», в буфер обмена устройства копируется зашифрованная строка PowerShell-команды. Злоумышленники предлагают пользователю вставить данную строку в командную строку, что активирует вредоносный скрипт для загрузки и установки вредоносной программы на устройство жертвы.


0by0mbud6o1xli27sc7674hu3epbw2yt.png


<span style="font-size: 9pt;">Капча с инструкцией</span>

<h4>Механизм заражения стилером Lumma</h4> Первоначально вредоносная капча использовалась для распространения стилера Lumma, который использует зашифрованную PowerShell-команду для загрузки вредоносного скрипта. Скрипт загружает и запускает файл под именем 0Setup.exe. При запуске открывается утилита BitLocker To Go, которая в обычных условиях служит для шифрования и просмотра содержимого съемных дисков. Злоумышленники используют её для создания в реестре Windows нужных для вредоносной программы веток и ключей.

После получения необходимых привилегий стилер Lumma сканирует устройство на наличие файлов, связанных с криптовалютными кошельками, а затем ищет браузерные расширения, связанные с криптовалютой и финансовыми операциями. Далее стилер извлекает куки и пароли, сохранённые в браузерах, а также архивы данных менеджеров паролей. Все собранные данные передаются на сервер злоумышленников. Помимо кражи данных, Lumma посещает страницы различных онлайн-магазинов, предположительно для накрутки просмотров и получения дополнительной прибыли.


lbcukggnppvsbfeil3oab671lt8h7j5d.png


<span style="font-size: 9pt;">Ложное сообщение об ошибке обновления</span>

<h4>Распространение троянца Amadey</h4> Недавно исследователи «Лаборатории Касперского» обнаружили, что поддельная капча начала распространять троянец Amadey. Вредоносная программа, впервые выявленная в 2018 году, используется злоумышленниками для загрузки дополнительных модулей, способных красть данные из браузеров и систем удаленного доступа, таких как VNC. Amadey также обнаруживает и подменяет адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые злоумышленниками.

Троянец обладает функциональностью для создания скриншотов и в некоторых случаях загружает инструмент удаленного доступа Remcos, который предоставляет злоумышленникам полный контроль над устройством жертвы.


03g8ssv2fafvpjajqm710gp26jezz6mt.png


<span style="font-size: 9pt;">Фрагмент кода Amadey, участвующего в кампании</span>

<h4>Масштабы распространения</h4> Согласно данным «Лаборатории Касперского», в период с 22 сентября по 14 октября 2024 года более 140 тысяч пользователей столкнулись с вредоносными скриптами, работающими через рекламные модули, которые в ряде случаев перенаправляли их на страницы с псевдокапчей. Из этого числа свыше 20 тысяч пользователей перенаправлены на зараженные сайты с ложными уведомлениями об обновлениях и поддельной капчей. Наибольшее число пострадавших зарегистрировано среди пользователей из Бразилии, Испании, Италии и России.
 
Источник новости
www.securitylab.ru

Похожие темы