
Peneliti keamanan siber meminta perhatian pada kampanye malware baru yang memanfaatkan pemeriksaan verifikasi CAPTCHA palsu untuk mengirimkan pencuri informasi Lumma yang terkenal itu.
“Kampanye ini bersifat global, dengan Netskope Threat Labs melacak korban yang ditargetkan di Argentina, Kolombia, Amerika Serikat, Filipina, dan negara-negara lain di seluruh dunia,” kata Leandro Fróes, insinyur penelitian ancaman senior di Netskope Threat Labs, dalam sebuah laporan yang dibagikan. dengan Berita Peretas.
“Kampanye ini juga mencakup berbagai industri, termasuk layanan kesehatan, perbankan, dan pemasaran, dengan industri telekomunikasi yang memiliki jumlah organisasi terbanyak yang menjadi sasaran.”
Rantai serangan dimulai ketika korban mengunjungi situs web yang disusupi, yang mengarahkan mereka ke halaman CAPTCHA palsu yang secara khusus menginstruksikan pengunjung situs untuk menyalin dan menempelkan perintah ke prompt Run di Windows yang menggunakan biner mshta.exe asli untuk mengunduh dan mengeksekusi. file HTA dari server jauh.

Perlu dicatat bahwa iterasi sebelumnya dari teknik ini, yang dikenal sebagai ClickFix, melibatkan eksekusi skrip PowerShell berkode Base64 untuk memicu infeksi Lumma Stealer.
File HTA, pada gilirannya, menjalankan perintah PowerShell untuk meluncurkan payload tahap berikutnya, skrip PowerShell yang membongkar skrip PowerShell kedua yang bertanggung jawab untuk mendekode dan memuat payload Lumma, tetapi tidak sebelum mengambil langkah untuk melewati Antarmuka Pemindaian Antimalware Windows ( AMSI) dalam upaya menghindari deteksi.
“Dengan mengunduh dan mengeksekusi malware dengan cara seperti itu, penyerang menghindari pertahanan berbasis browser karena korban akan melakukan semua langkah yang diperlukan di luar konteks browser,” jelas Fróes.
“Lumma Stealer beroperasi menggunakan model malware-as-a-service (MaaS) dan sangat aktif dalam beberapa bulan terakhir. Dengan menggunakan metode pengiriman dan muatan yang berbeda, hal ini membuat deteksi dan pemblokiran ancaman tersebut menjadi lebih kompleks, terutama ketika menyalahgunakan pengguna interaksi dalam sistem.”

Baru-baru ini pada bulan ini, Lumma juga telah didistribusikan melalui sekitar 1.000 domain palsu yang meniru Reddit dan WeTransfer yang mengarahkan pengguna untuk mengunduh arsip yang dilindungi kata sandi.
File arsip ini berisi dropper AutoIT yang dijuluki SelfAU3 Dropper yang kemudian mengeksekusi si pencuri, menurut peneliti Sekoia crep1x. Pada awal tahun 2023, pelaku ancaman memanfaatkan teknik serupa untuk membuat lebih dari 1.300 domain yang menyamar sebagai AnyDesk guna mendorong malware Vidar Stealer.
Perkembangan ini terjadi ketika Barracuda Networks merinci versi terbaru dari toolkit Phishing-as-a-Service (PhaaS) yang dikenal sebagai Tycoon 2FA yang mencakup fitur-fitur canggih untuk “menghalangi, menggagalkan, dan menggagalkan upaya alat keamanan untuk mengonfirmasi niat jahatnya dan memeriksa halaman webnya.”

Hal ini termasuk penggunaan akun email yang sah – yang mungkin telah disusupi – untuk mengirim email phishing dan mengambil serangkaian langkah untuk mencegah analisis dengan mendeteksi skrip keamanan otomatis, mendengarkan penekanan tombol yang menyarankan inspeksi web, dan menonaktifkan menu konteks klik kanan.
Serangan pengambilan kredensial yang berorientasi rekayasa sosial juga telah diamati memanfaatkan penyedia avatar Gravatar untuk meniru berbagai layanan sah seperti AT&T, Comcast, Eastlink, Infinity, Kojeko, dan Proton Mail.
“Dengan mengeksploitasi 'Profil sebagai Layanan' Gravatar, penyerang membuat profil palsu yang meyakinkan dan meniru layanan yang sah, menipu pengguna agar membocorkan kredensial mereka,” kata CTO SlashNext Field Stephen Kowski.
“Alih-alih melakukan upaya phishing umum, penyerang menyesuaikan profil palsu mereka agar menyerupai layanan sah yang mereka tiru melalui layanan yang sering kali tidak diketahui atau dilindungi.”