CloudSEK mengatakan malware Lumma Stealer menyebar ke perangkat Windows melalui halaman verifikasi manusia palsu

Malware pencuri informasi bernama Lumma Stealer baru-baru ini ditemukan, didistribusikan ke pengguna melalui halaman verifikasi identitas manusia palsu. Menurut peneliti di perusahaan keamanan siber CloudSEK, malware tersebut menargetkan perangkat Windows dan dirancang untuk mencuri informasi sensitif dari perangkat yang terinfeksi. Yang mengkhawatirkan, para peneliti telah menemukan beberapa situs phishing yang menerbitkan halaman verifikasi palsu ini untuk mengelabui pengguna agar mengunduh malware tersebut. Peneliti CloudSEK memperingatkan organisasi agar tidak menerapkan solusi perlindungan titik akhir dan melatih karyawan dan pengguna tentang taktik rekayasa sosial baru ini.

Malware Lumma Stealer menyebar menggunakan teknik phishing baru

Menurut CloudSEK sebuah laporanBeberapa situs web aktif ditemukan menyebarkan malware Lumma Stealer. Teknologi ini pertama kali ditemukan Itu telah ditemukan Proyek ini dimulai pada tahun 2011, oleh Unit42 di Palo Alto Networks, sebuah perusahaan keamanan siber, namun cakupan rantai distribusinya kini dianggap jauh lebih besar dari perkiraan sebelumnya.

Para penyerang membuat berbagai situs web jahat dan menambahkan sistem verifikasi identitas manusia palsu, mirip dengan halaman Tes Turing Publik Otomatis Sepenuhnya untuk Membedakan Komputer dari Manusia (CAPTCHA) Google. Namun, tidak seperti halaman CAPTCHA biasa di mana pengguna harus mencentang beberapa kotak atau melakukan tugas berbasis pola serupa untuk membuktikan bahwa mereka bukan robot, halaman palsu meminta pengguna untuk menjalankan beberapa perintah yang tidak biasa.

Dalam satu kasus, peneliti menemukan halaman verifikasi palsu yang meminta pengguna untuk menjalankan skrip PowerShell. Skrip PowerShell berisi serangkaian perintah yang dapat dijalankan di kotak dialog Jalankan. Dalam kasus ini, para peneliti menemukan bahwa perintah tersebut mengambil konten dari file a.txt yang dihosting di server jarak jauh. Ini mengunduh dan mengekstrak file ke sistem Windows, menginfeksinya dengan virus Lumma Stealer.

Laporan tersebut juga menyebutkan URL jahat yang terlihat menyebarkan malware ke pengguna yang tidak mendapat informasi. Namun, ini bukanlah daftar lengkap dan mungkin ada lebih banyak situs yang melakukan serangan tersebut.

• HXPS[://]Jin heroik 2b372e[.]Netifikasi[.]app/mohon-verifikasi-z[.]html

• HXPS[://]Vibedslaungos.dll[.]B-CDN[.]bersih/silakan periksa[.]html

• HXPS[://]sdkjhfdskjnck[.]S3[.]AmazonAz[.]com/human-verify-system[.]html

• HXPS[://]Validasi manusia476[.]B-CDN[.]Sistem verifikasi jaringan/manusia[.]html

• HXPS[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]hal.2[.]Mengembangkan/memverifikasi-sistem-manusia[.]html

• HXPS[://]Validasi manusia476[.]B-CDN[.]Sistem verifikasi jaringan/manusia[.]html

• HXPS[://]zona video baru[.]Klik/benar[.]html

• HXPS[://]Bab 3[.]Delvidius Gratis[.]Klik/Periksa Sistem Manusia[.]html

• HXPS[://]zona video baru[.]Klik/benar[.]html

• HXPS[://]Video offset gratis[.]Klik

Para peneliti juga mencatat bahwa Jaringan Pengiriman Konten (CDN) digunakan untuk menyebarkan halaman verifikasi palsu ini. Selain itu, penyerang telah diamati menggunakan enkripsi base64 dan manipulasi clipboard untuk menghindari paparan. Dimungkinkan juga untuk mendistribusikan malware lain menggunakan teknik yang sama, meskipun sejauh ini belum ada kasus seperti itu yang terlihat.

Karena modus serangannya didasarkan pada teknik phishing, tidak ada patch keamanan yang dapat mencegah perangkat terinfeksi. Namun, ada beberapa langkah yang dapat diambil pengguna dan organisasi untuk melindungi dari malware pencuri data dari Lumma.

Menurut laporan tersebut, pengguna dan karyawan harus waspada terhadap taktik penipuan ini agar mereka tidak tertipu. Selain itu, organisasi harus menerapkan dan memelihara solusi perlindungan titik akhir yang andal untuk mendeteksi dan memblokir serangan berbasis PowerShell. Selain itu, memperbarui dan menambal sistem secara berkala juga bermanfaat untuk mengurangi kerentanan yang dapat dieksploitasi oleh malware Lumma Stealer.