Введение
Киберпреступники используют поддельные капчи для распространения безфайлового вредоносного ПО Lumma Stealer, согласно исследованию компании по кибербезопасности DNSFilter. Впервые это ПО было обнаружено на греческом банковском сайте, где пользователям Windows предлагалось скопировать и вставить текст в диалоговое окно «Выполнить», а затем нажать Enter.
Статистика и последствия
DNSFilter сообщает, что клиенты компании взаимодействовали с поддельной капчей 23 раза за три дня, и 17% людей, столкнувшихся с этой подсказкой, выполнили ее инструкции, что привело к попытке доставки вредоносного ПО.
Описание Lumma Stealer
Глобальный партнерский евангелист DNSFilter, Майки Пруитт, объяснил, что Lumma Stealer представляет собой вредоносное ПО, которое ищет на зараженном устройстве учетные данные и другие конфиденциальные данные.
«Lumma Stealer немедленно сканирует систему на предмет всего, что можно монетизировать — пароли и куки, сохраненные в браузере, токены 2FA, данные криптовалютных кошельков, учетные данные удаленного доступа и даже хранилища паролей,»
— сказал он в интервью Decrypt.
Цели киберпреступников
Пруитт уточнил, что киберпреступники используют украденные данные для различных целей, которые обычно сводятся к финансовой выгоде, включая кражу личных данных и доступ к онлайн-аккаунтам для финансового воровства или мошеннических транзакций, а также доступ к криптовалютным кошелькам.
Распространение и угроза
Lumma Stealer имеет широкий охват, по словам Пруитта, и может быть найден на различных веб-сайтах.
«Хотя мы не можем точно сказать, сколько могло быть потеряно через этот один канал, эта угроза может существовать на не злонамеренных сайтах,»
— объяснил он. «Это делает ее невероятно опасной, и важно быть внимательным, когда что-то кажется подозрительным.»
Модель Malware-as-a-Service
Lumma Stealer не только вредоносное ПО, но и пример Malware-as-a-Service (MaaS), о котором сообщают компании по безопасности, что отвечает за рост атак вредоносного ПО в последние годы. Согласно анализу вредоносного ПО ESET Якуба Томанека, операторы Lumma Stealer разрабатывают его функции, совершенствуют его способность избегать обнаружения и регистрируют домены для размещения вредоносного ПО.
«Их главная цель — поддерживать сервис в рабочем состоянии и прибыльным, собирая ежемесячные подписные взносы от партнеров — фактически управляя Lumma Stealer как устойчивым киберпреступным бизнесом.»
Правоохранительные меры
В мае Министерство юстиции США конфисковало пять интернет-доменов, которые использовались для работы Lumma Stealer, в то время как Microsoft в частном порядке закрыла 2300 аналогичных доменов. Тем не менее, отчеты показали, что Lumma Stealer вновь появился с мая, при этом анализ в июле от Trend Micro показал, что число целевых аккаунтов постепенно вернулось к своим обычным уровням между июнем и июлем.
Экономика Lumma Stealer
Часть привлекательности Lumma Stealer заключается в том, что подписки, которые часто являются ежемесячными, относительно недороги по сравнению с потенциальными прибылями.
«Доступный на форумах темной сети всего за 250 долларов, этот сложный крадущий информацию специально нацелен на то, что наиболее важно для киберпреступников — криптовалютные кошельки, учетные данные, сохраненные в браузере, и системы двухфакторной аутентификации,»
— сказал Натанил Джонс, вице-президент по безопасности и стратегии ИИ в Darktrace.
Масштаб проблемы
Джонс отметил, что масштаб эксплуатации Lumma Stealer был «тревожным», с оценочными потерями в 36,5 миллиона долларов в 2023 году и 400 000 зараженных устройств Windows за два месяца.
«Но настоящая проблема заключается не только в цифрах — это многоуровневая стратегия монетизации,»
— добавил он.
Заключение
Увеличивает угрозу Lumma Stealer тот факт, что украденные данные часто передаются непосредственно в «traffer teams», которые специализируются на краже и перепродаже учетных данных.
«Это создает разрушительный каскадный эффект, когда одна инфекция может привести к захвату банковского счета, краже криптовалюты и мошенничеству с личностью, которое продолжается долго после первоначального нарушения,»
— добавил Джонс. Хотя Darktrace предположила российское происхождение или центр для эксплойтов, связанных с Lumma, DNSFilter отметила, что киберпреступники, использующие сервис вредоносного ПО, могут действовать из нескольких стран.
