Хакеры используют поддельные капчи для распространения Lumma Stealer: угроза кражи криптовалютных данных.

Как хакеры используют поддельные капчи для распространения вредоносного ПО Lumma Stealer

Недобросовестные лица используют поддельные капчи для распространения файлового вредоносного ПО Lumma Stealer, которое может красть учетные данные криптовалютных кошельков, согласно исследованию кибербезопасности компании DNSFilter.

Первый случай его обнаружения был зафиксирован на греческом банковском сайте, где пользователи Windows получали запрос, предложенный в виде капчи, на копирование и вставку его в диалоговое окно `Выполнить`, а затем нажать Enter.

DNSFilter сообщает, что клиенты компании взаимодействовали с поддельной капчей 23 раза за три дня, и 17% людей, которые столкнулись с этим запросом, выполнили действия на экране, что привело к попытке доставки вредоносного ПО.

Вредоносное ПО Lumma Stealer, согласно словам мирового партнера DNSFilter Майки Прутта, ищет на зараженном устройстве учетные данные и другие чувствительные данные.

“Lumma Stealer мгновенно сканирует систему в поисках всего, что можно монетизировать — паролей и куков, хранящихся в браузере, сохраненных токенов двуфакторной аутентификации, данных криптовалютных кошельков, учетных данных для удаленного доступа и даже хранилищ паролей,” — сказал он изданию Decrypt.

Пруитт уточняет, что недобросовестные лица используют похищенные данные для различных целей, которые, как правило, сводятся к получению финансовой выгоды, таких как кража личных данных и доступ к “онлайн-аккаунтам для финансового мошенничества,” а также доступ к криптовалютным кошелькам.

По словам Прутта, Lumma Stealer обладает широким охватом и может быть найден на самых разных веб-сайтах.

“Хотя мы не можем подтвердить, сколько могло быть потеряно через этот один канал, эта угроза может существовать на ненастных сайтах,” — объяснил он. “Это делает её невероятно опасной и важной, чтобы быть внимательным, когда всё кажется подозрительным.”

Малвер как услуга

Lumma Stealer — это не только вредоносное ПО, но и пример концепции `Малвер как услуга` (MaaS). Компании по безопасности сообщают, что это приводит к увеличению числа атак вредоносного ПО в последние годы.

Согласно словам аналитика ESET по вредоносному ПО Якуба Томанека, операторы Lumma Stealer развивают его функции, улучшая возможности обхода обнаружения, а также регистрируют домены для размещения вредоносного программного обеспечения.

“Их основная цель — поддерживать сервис в рабочем состоянии и прибыльным, собирая ежемесячные подписочные взносы от партнеров — фактически управляя Lumma Stealer как устойчивым киберпреступным бизнесом,” — сказал он изданию Decrypt.

Поскольку это избавляет киберпреступников от необходимости разрабатывать вредоносное ПО и любую инфраструктуру, услуги вроде Lumma Stealer оказались крайне востребованными.

В мае Министерство юстиции США конфисковало пять интернет-доменов, которые недобросовестные лица использовали для работы Lumma Stealer, в то время как Microsoft закрыла 2300 подобных доменов.

Тем не менее, отчеты показали, что Lumma Stealer вновь появился с мая, а анализы в июле от Trend Micro показали, что “число целевых аккаунтов неуклонно вернулось к своим обычным уровням” между июнем и июлем.

Часть привлекательности Lumma Stealer заключается в том, что подписки, которые чаще всего являются месячными, относительно недороги по сравнению с потенциальной выгодой.

“Доступное на форумах темной сети всего за 250 долларов, это сложное программное обеспечение для кражи информации специально нацелено на то, что больше всего важно для киберпреступников — криптовалютные кошельки, учетные данные, хранящиеся в браузере, и системы двуфакторной аутентификации,” — сказал Натанель Джонс, вице-президент по безопасности и стратегии ИИ компании Darktrace.

Джонс сообщил изданию Decrypt, что масштаб эксплуатации Lumma Stealer был “тревожным”, при этом в 2023 году ожидаемые потери составили 36,5 миллиона долларов, а 400 000 устройств Windows были заражены за два месяца.

“Но настоящая проблема заключается не только в цифрах — это многоуровневая стратегия монетизации,” — добавил он. “Lumma не просто крадет данные, она систематически собирает историю браузера, информацию о системе и даже конфигурационные файлы AnyDesk, прежде чем экстрагировать все данные в командные центры, контролируемые Россией.”

Усиливает угрозу Lumma Stealer тот факт, что похищенные данные часто отправляются непосредственно в “команды трафферов,” которые специализируются на краже и перепродаже учетных данных.

“Это создает разрушительный каскадный эффект, при котором одна единственная инфекция может привести к угоню банковского счета, краже криптовалюты и мошенничеству с личностью, которое продолжается долго после первоначальной утечки,” — добавил Джонс.

Хотя Darktrace предполагает российское происхождение или центр для атак, связанных с Lumma, DNSFilter указывает на то, что недобросовестные лица, использующие услугу вредоносного программного обеспечения, могут действовать из разных территорий.

Майки Пруитт сказал: “Это обычная практика, когда такие злонамеренные действия предполагают участие отдельных лиц или групп из нескольких стран, особенно при использовании международных хостинг-провайдеров и платформ распределения вредоносного ПО.”