CloudSEK mengatakan malware Lumma Stealer menyebar ke mesin Windows melalui halaman verifikasi manusia palsu

Lumma Stealer, malware pencuri informasi yang baru-baru ini diidentifikasi, didistribusikan kepada pengguna melalui halaman verifikasi manusia palsu. Menurut peneliti di perusahaan keamanan siber CloudSEK, malware tersebut menargetkan perangkat Windows dan dirancang untuk mencuri informasi sensitif dari perangkat yang terinfeksi. Yang mengkhawatirkan, para peneliti telah menemukan beberapa situs phishing yang menerbitkan halaman verifikasi palsu ini untuk mengelabui pengguna agar mengunduh malware. Peneliti CloudSEK telah memperingatkan organisasi agar tidak menerapkan solusi perlindungan titik akhir dan melatih karyawan dan pengguna tentang taktik rekayasa sosial baru ini.

Malware Lumma Stealer didistribusikan menggunakan teknik phishing baru

Menurut CloudSEK sebuah laporanditemukan beberapa situs aktif yang menyebarkan malware Lumma Stealer. Itu adalah teknologi pertama mengetahui Oleh Unit42 di Palo Alto Networks, sebuah perusahaan keamanan siber, namun cakupan rantai distribusinya kini diyakini jauh lebih besar dari perkiraan sebelumnya.

Para penyerang membuat beberapa situs web jahat dan menambahkan sistem verifikasi manusia palsu, mirip dengan halaman Tes Turing Publik Otomatis Google untuk Membedakan Komputer dari Manusia (CAPTCHA). Namun, tidak seperti halaman CAPTCHA biasa di mana pengguna harus mencentang beberapa kotak atau melakukan tugas berbasis pola serupa untuk membuktikan bahwa mereka bukan robot, halaman palsu meminta pengguna untuk menjalankan beberapa perintah yang tidak biasa.

Dalam satu kasus, peneliti menemukan halaman verifikasi palsu yang meminta pengguna untuk menjalankan skrip PowerShell. Skrip PowerShell berisi serangkaian perintah yang dapat dijalankan di kotak dialog Jalankan. Dalam kasus ini, ditemukan perintah untuk mengambil konten dari file a.txt yang dihosting di server jarak jauh. Hal ini menyebabkan file diunduh dan diekstraksi pada sistem Windows, menginfeksinya dengan virus Lumma Stealer.

Laporan tersebut juga mencantumkan URL berbahaya yang terlihat menyebarkan malware ke pengguna yang tidak menaruh curiga. Namun, ini bukanlah daftar lengkap dan mungkin ada lebih banyak situs serupa yang melakukan serangan tersebut.

• com.hxxps[://]Jin Pahlawan-2b372e[.]com.netlify[.]aplikasi/silakan periksa-z[.]html

• com.hxxps[://]com.fipydslaongos[.]B-kdn[.]bersih/harap periksa -z[.]html

• com.hxxps[://]sdkjhfdskjnck[.]S3[.]com.amazonaws[.]com/human-verify-system[.]html

• com.hxxps[://]Diverifikasi oleh Human476[.]B-kdn[.]net/sistem-verifikasi-manusia[.]html

• com.hxxps[://]pub-9c4ec7f3f95c448b85e464d2b533aac1[.]hal.2[.]dev/manusia-verifikasi-sistem[.]html

• com.hxxps[://]Diverifikasi oleh Human476[.]B-kdn[.]net/sistem-verifikasi-manusia[.]html

• com.hxxps[://]zona video baru[.]Klik/benar[.]html

• com.hxxps[://]Bab 3[.]com.dlvideosfre[.]Klik/Periksa Sistem Manusia[.]html

• com.hxxps[://]zona video baru[.]Klik/benar[.]html

• com.hxxps[://]com.offsetvideofre[.]Klik

Para peneliti juga mencatat bahwa Jaringan Pengiriman Konten (CDN) digunakan untuk menyebarkan halaman verifikasi palsu ini. Selain itu, penyerang telah diamati menggunakan enkripsi Base64 dan manipulasi clipboard untuk menghindari demo. Dimungkinkan juga untuk mendistribusikan malware lain menggunakan teknik yang sama, meskipun sejauh ini belum ada kasus seperti itu yang terlihat.

Karena serangan ini bekerja berdasarkan teknik phishing, tidak ada patch keamanan yang dapat mencegah perangkat terinfeksi. Namun, ada beberapa langkah yang dapat diambil oleh pengguna dan organisasi untuk melindungi terhadap malware Lummastealer.

Menurut laporan tersebut, pengguna dan karyawan harus menyadari taktik phishing ini agar mereka tidak tertipu. Selain itu, organisasi harus menerapkan dan memelihara solusi perlindungan titik akhir yang andal untuk mendeteksi dan memblokir serangan berbasis PowerShell. Selain itu, memperbarui dan menambal sistem secara berkala juga akan membantu mengurangi kerentanan yang dapat dieksploitasi oleh malware Lumma Stealer.