Опасная игрушка в руках мошенников: усовершенствованный Lumma Stealer использует CAPTCHA для атак

Популярный инструмент мошенников для кражи данных Lumma Stealer получил серьёзное обновление, делающее его ещё более опасным. Злоумышленники теперь используют фишинговые страницы проверки CAPTCHA, чтобы обмануть пользователей и заставить их выполнить вредоносные команды PowerShell. Так, киберэксперт и инженер-аналитик лаборатории исследований кибербезопасности компании "Газинформсервис" Ирина Дмитриева предупреждает, что всеми нелюбимый способ борьбы с ботами и спам-атаками на веб-страницы стал игрушкой в руках мошенников.

"Мошенники в диалоговом окне фейк-скрипта CAPTCHA предлагают пользователю выполнить следующие действия: вставить выведенную на экран вредоносную команду PowerShell в диалоговое окно "Выполнить" в Windows или в интерфейс командной строки. После реализации инструкции происходит магия запуска ВПО: на устройство прилетает полезная нагрузка, замаскированная под "ArtistSponsorship.exe", а исполняемый файл загружает ряд скриптов для сбора данных из временных каталогов пользователя (%temp%) и последующей эксфильтрации собранных данных. Фиксировалась передача файла размером 6,37 МБ данных, что говорит о продвинутом потенциале стилера", — объясняет Дмитриева.

"Другой вектор атаки — заставить пользователя открыть вредоносный PDF с ярлыком .lnk, который запускает скрипт PowerShell. Этот скрипт использует шифрование AES и динамическое разрешение API и маскирует свои действия с помощью кодировки base64", — отметила эксперт.

По оценкам Netskope Threat Labs, в этой кампании может быть задействовано около 5000 поддельных сайтов с вредоносной CAPTCHA, что увеличивает масштабы угрозы.

Lumma Stealer остаётся серьёзной угрозой в 2025 году, что, в свою очередь, накладывает необходимость для компаний использовать расширенный поведенческий анализ и тщательно отслеживать сетевую активность на предмет признаков связи с С2 или утечки данных, чтобы опережать работу стилеров.

"Для детектирования подобных угроз может помочь продукт выявления аномальной активности на пользовательских хостах в контексте поведенческого анализа. С этим поможет продукт Ankey ASAP, который предлагает компания "Газинформсервис". Однако данные инструменты злоумышленников предполагают и проведение обучения среди пользователей — врага нужно идентифицировать "на берегу"", — заключает киберспециалист.