来源:CloudSEK
CloudSEK 的一份新报告显示,一场正在进行的恶意软件攻击活动正在传播名为 Lumma Stealer 的信息窃取程序,该活动主要针对教育机构,但也影响到了其他各个领域。这场攻击活动使用伪装成合法 PDF 文档的恶意 LNK(快捷方式)文件,诱骗用户启动一个多阶段的感染过程。
攻击者利用受攻击的教育机构的基础设施,在 WebDAV 服务器上托管恶意文件。用户会被以查看学费结构或其他看似无害的文档为由,引诱下载这些文件。当用户点击这些恶意的 LNK 文件时,会执行一个 PowerShell 命令,该命令会下载并运行经过混淆处理的 JavaScript 代码。最终,这段代码会导致 Lumma Stealer 有效载荷的部署。
报告中指出:“这场攻击活动的主要感染途径是使用精心制作成看似合法 PDF 文档的恶意 LNK(快捷方式)文件。” 这些 LNK 文件利用 “独特的特性” 来 “欺骗用户并绕过安全措施,使其成为渗透系统和网络的有效工具”。
一旦被执行,Lumma Stealer 可以窃取各种敏感数据,包括密码、浏览器信息以及加密货币钱包的详细信息。然后,该恶意软件会尝试连接到命令与控制(C2)服务器,以窃取已盗取的数据。
Lumma Stealer 采用了多种逃避检测的技术:
1.混淆的 JavaScript 执行 —— 最初的 LNK 文件会运行一个 PowerShell 脚本,该脚本隐藏在 JavaScript 覆盖代码中。
2.AES 加密有效载荷 —— 该恶意软件会下载一个经过 AES 加密的有效载荷,并使用硬编码密钥以 CBC 模式对其进行解密。
3.数学混淆 ——PowerShell 脚本使用基本的算术技术来隐藏其真实功能。
一旦部署完成,Lumma Stealer 会将窃取到的数据泄露到命令与控制(C2)服务器,使攻击者能够获取密码、加密货币钱包以及浏览器会话的详细信息。
有趣的是,报告指出,该恶意软件还包含一个 Steam 网址,作为备用通信渠道。研究人员解释说:“如果样本无法访问其拥有的每个 C2 域名,它就会使用 Steam 连接。”
正如 CloudSEK 所警告的那样,这场攻击活动仍在继续,很可能会出现新的攻击变种。企业、政府和教育机构必须保持警惕,并积极主动地防范这种迅速演变的网络威胁。
发表评论
您还未登录,请先登录。
登录