Зловмисники використовують підроблені запити Captcha для поширення Lumma Stealer: загроза крадіжки криптовалютних даних знову активізувалась.

Згідно з дослідженням компанії з кібербезпеки DNSFilter, зловмисники використовують підроблені запити Captcha для розповсюдження безфайлового шкідливого програмного забезпечення Lumma Stealer, яке може викрадати облікові дані криптовалютних гаманців.

Цей шкідник вперше був виявлений на сайті одного з грецьких банків, де запитує у користувачів Windows копіювати та вставити його в діалогове вікно `Виконати`, а потім натиснути Enter.

DNSFilter повідомляє, що їхні клієнти взаємодіяли з цим підробленим Captcha 23 рази протягом трьох днів, при цьому 17% людей, які натрапили на запит, виконали його кроки на екрані, що призвело до спроби доставки шкідливого програмного забезпечення.

Шкідливе програмне забезпечення, про яке йдеться, - це Lumma Stealer, яке, за словами глобального партнера компанії DNSFilter Мікі Пруітта, шукає на зараженому пристрої облікові дані та інші чутливі дані.

“Lumma Stealer миттєво перевіряє систему на наявність будь-чого, що можна монетизувати — паролі та куки, збережені токени 2FA, дані криптовалютних гаманців, облікові дані для віддаленого доступу, а також сховища менеджерів паролів,” — зазначив він у розмові з Decrypt.

Пруітт уточнює, що зловмисники використовують викрадені дані для різних цілей, які, як правило, зводяться до фінансової вигоди, таких як крадіжка ідентифікаційних даних і доступ до `онлайн-акаунтів для фінансових крадіжок або шахрайських транзакцій`, а також отримання доступу до криптовалютних гаманців.

Лумма Стилер має широкий радіус дії, за словами Пруітта, і може бути знайдено на великій кількості веб-сайтів.

“Хоча ми не можемо сказати, скільки могло бути втрачене через цю одну можливість, ця загроза може існувати навіть на не зловмисних сайтах,” — пояснює він. “Це робить її надзвичайно небезпечною та важливою, коли речі виглядають підозрілими.”

Шкідливе програмне забезпечення як послуга

Lumma Stealer не лише шкідливе програмне забезпечення, а й приклад Malware-as-a-Service (MaaS). Компанії з безпеки повідомили, що це призвело до зростання атак шкідливого програмного забезпечення в останні роки.

Згідно з даними аналітика зловмисного програмного забезпечення ESET Якуба Томанека, оператори за Lumma Stealer розробляють його функції, вдосконалюють його здатність уникати виявлення шкідливого програмного забезпечення, а також реєструють домени для розміщення шкідливого програмного забезпечення.

“Їхня основна мета — зберегти сервіс працездатним і прибутковим, збираючи щомісячні плати за підписку від партнерів — фактично управляючи Lumma Stealer як стійким кіберзлочинним бізнесом,” — додав він у розмові з Decrypt.

Тому що це позбавляє кіберзлочинців потреби розробляти шкідливе програмне забезпечення та будь-яку інфраструктуру, MaaS, така як Lumma Stealer, виявилася стійко популярною.

У травні Міністерство юстиції США вилучило п’ять доменів, які зловмисники використовували для роботи Lumma Stealer, у той час як Microsoft приватно закрила 2300 подібних доменів.

Проте звіти показали, що Lumma Stealer знову з’явився з травня, а у липневому аналізі Trend Micro показано, що “кількість цілей, на які націлювалися, постійно повернулася до своїх звичайних рівнів” між червнем та липнем.

Частиною привабливості Lumma Stealer є те, що підписки, які часто є щомісячними, є відносно недорогими у порівнянні з потенційними вигодами.

“Доступний на форумах темної мережі за ціною всього $250, цей складний викрадач інформації спеціально націлюється на те, що найбільше цікавить кіберзлочинців – криптовалютні гаманці, облікові дані, що зберігаються в браузері, і системи двофакторної автентифікації,” — зазначив Натанаїл Джонс, віце-президент з безпеки та стратегії ШІ в Darktrace.

Джонс розповів Decrypt, що масштаб експлуатацій Lumma Stealer був “тривожним”, з приблизними втратами в 36,5 мільйона доларів у 2023 році, а також 400 000 заражених пристроїв на Windows протягом двох місяців.

“Але справжня проблема полягає не лише в цифрах – це багатошарова стратегія монетизації,” — сказав він. “Lumma не просто краде дані, вона систематично збирає історії браузера, інформацію про систему та навіть конфігураційні файли AnyDesk перед тим, як викрасти все до командних центрів під контролем Росії.”

Посилює загрозу Lumma Stealer той факт, що викрадені дані часто передаються безпосередньо `командам трейдерів`, які спеціалізуються на крадіжці та повторному продажу облікових даних.

“Це створює руйнівний каскадний ефект, коли одна інфекція може призвести до викрадення банківських рахунків, крадіжки криптовалюти та шахрайства з ідентифікацією, що триває довго після початкового порушення,” — додає Джонс.

Хоча Darktrace припускає російське походження або центр для експлуатацій, пов`язаних із Lumma, DNSFilter зазначає, що зловмисники, які користуються послугою шкідливого програмного забезпечення, можуть діяти з кількох територій.

Мікі Пруітт сказав: “Це поширене явище, коли подібна злочинна діяльність залучає осіб або групи з кількох країн, особливо з використанням міжнародних хостингових провайдерів та платформ для розповсюдження шкідливого програмного забезпечення.”