Falska Captcha-promptar och Lumma Stealer
Onda aktörer använder falska Captcha-promptar för att distribuera det skadliga programmet Lumma Stealer, enligt forskning från cybersäkerhetsföretaget DNSFilter. Det första kända fallet upptäcktes på en grekisk bankwebbplats, där användare ombads att kopiera och klistra in en kod i dialogrutan Kör och sedan trycka på Enter.
Interaktion och risker
DNSFilter rapporterar att företagets kunder interagerade med den falska Captchan 23 gånger under en period av tre dagar, och att 17 % av de som stötte på prompten genomförde de angivna stegen, vilket resulterade i ett försök att leverera malware.
Mikey Pruitt, global partner-evangelist på DNSFilter, förklarade att Lumma Stealer är en typ av malware som söker igenom en infekterad enhet efter autentiseringsuppgifter och annan känslig information.
”Lumma Stealer sveper omedelbart igenom systemet efter allt som kan monetiseras – webbläsarlagrade lösenord och cookies, sparade 2FA-token, kryptovaluta-plånboksdata, fjärråtkomstuppgifter och till och med lösenordshanterarvalv,” berättade han för Decrypt.
Ekonomiska motiv och spridning
Pruitt klargjorde att de onda aktörerna använder stulna data för olika syften, oftast relaterade till ekonomisk vinning, såsom ID-stöld och åtkomst till onlinekonton för finansiell stöld eller bedrägliga transaktioner, samt för att få tillgång till kryptovaluta-plånböcker. Lumma Stealer har en bred räckvidd och kan hittas på många olika webbplatser.
”Även om vi inte kan säga hur mycket som kan ha gått förlorat genom denna enskilda väg, kan detta hot existera på icke-maliciösa sidor,” förklarade han. ”Detta gör det otroligt farligt och viktigt att vara medveten om när saker verkar misstänkta.”
Malware-as-a-Service (MaaS)
Lumma Stealer är inte bara malware, utan ett exempel på Malware-as-a-Service (MaaS), vilket säkerhetsföretag har rapporterat är ansvarigt för en ökning av malware-attacker under de senaste åren. Enligt ESET:s malware-analytiker Jakub Tomanek utvecklar operatörerna bakom Lumma Stealer dess funktioner och förfinar dess förmåga att undvika upptäckter.
”Deras primära mål är att hålla tjänsten operativ och lönsam, samla in månatliga prenumerationsavgifter från affiliates – effektivt driva Lumma Stealer som en hållbar cyberkriminell verksamhet,” berättade han för Decrypt.
Åtgärder och återuppvaknande
I maj beslagtog det amerikanska justitiedepartementet fem internetdomäner som onda aktörer använde för att driva Lumma Stealer-malware, medan Microsoft stängde ner 2 300 liknande domäner. Ändå har rapporter visat att Lumma Stealer har återuppstått sedan dess, med en analys från Trend Micro i juli som visade att ”antalet riktade konton stadigt återvände till sina vanliga nivåer” mellan juni och juli.
Ekonomiska konsekvenser
En del av lockelsen med Lumma Stealer är att prenumerationer, som ofta är månatliga, är billiga i förhållande till de potentiella vinster som kan göras. ”Tillgänglig på dark web-forum för så lite som 250 dollar, riktar denna sofistikerade informationsstjäla specifikt in sig på vad som betyder mest för cyberkriminella – kryptovaluta-plånböcker, webbläsarlagrade autentiseringsuppgifter och tvåfaktorsautentiseringssystem,” sa Nathaniel Jones, VP för säkerhet och AI-strategi på Darktrace.
Jones berättade för Decrypt att omfattningen av Lumma Stealer-utnyttjanden har varit ”alarming”, med 2023 som vittnat om uppskattade förluster på 36,5 miljoner dollar och 400 000 Windows-enheter infekterade under en period av två månader.
”Men den verkliga oron handlar inte bara om siffrorna – det är den flerlagrade monetiseringsstrategin,” sa han. ”Lumma stjäl inte bara data, det systematiskt skördar webbläsarhistorik, systeminformation och till och med AnyDesk-konfigurationsfiler innan det exfiltrerar allt till ryska kontrollerade kommandocentraler.”
Global spridning och samarbete
En ytterligare oro är att stulna data ofta matas direkt in i ”traffer-team”, som specialiserar sig på stöld och återförsäljning av autentiseringsuppgifter. ”Detta skapar en förödande kaskadeffekt där en enda infektion kan leda till bankkontohijacking, kryptovaluta-stöld och identitetsbedrägeri som kvarstår långt efter det initiala intrånget,” tillade Jones.
Medan Darktrace föreslog en rysk ursprung eller centrum för Lumma-relaterade utnyttjanden, noterade DNSFilter att de onda aktörerna som använder malware-tjänsten kan operera från flera territorier. ”Det är vanligt att sådana skadliga aktiviteter involverar individer eller grupper från flera länder,” sa Pruitt och tillade att detta är särskilt utbrett ”med användning av internationella hostingleverantörer och malware-distributionsplattformar.”
