亚洲精品久久久久久动漫_99精品国产丝袜在线拍国语_欧美日韩电影一区二区三区_欧美+日韩+国产在线_边啃奶头边躁狠狠躁视频免费观看_一个妈妈的朋友_成人豆豆视频_日本60岁熟妇xxxⅹ_十八岁免费完整版在线观看

首頁 > 安全資訊 > 正文

虛假CAPTCHA投遞Lumma Stealer竊密木馬

2025-04-02 17:49:48
我要分享


微信掃碼分享

Lumma來襲

近期，360安全大腦監(jiān)測(cè)到一款名為L(zhǎng)umma Stealer的惡意軟件傳播量呈現(xiàn)出了上升態(tài)勢(shì)，而該惡意軟件的傳播方式較為特殊——它是利用了虛假的CAPTCHA驗(yàn)證發(fā)起攻擊。該惡意軟件的攻擊者采用了精心設(shè)計(jì)的社會(huì)工程學(xué)策略和多層技術(shù)規(guī)避機(jī)制，其目標(biāo)直指?jìng)€(gè)人和企業(yè)用戶的敏感數(shù)據(jù)。作為一種以“惡意軟件即服務(wù)(MaaS)”進(jìn)行分發(fā)形式的惡意軟件，Lumma Stealer在暗網(wǎng)市場(chǎng)上以每月250~1000美元不等的價(jià)格出售，這無疑為網(wǎng)絡(luò)犯罪分子提供了一款頗具性價(jià)比的攻擊工具。?

攻擊分析

虛假的CAPTCHA驗(yàn)證

攻擊者通過虛假CAPTCHA驗(yàn)證頁面作為誘餌，利用mshta加載遠(yuǎn)端內(nèi)嵌惡意腳本的mp3文件。通過這一系列精心設(shè)計(jì)的步驟，最終實(shí)現(xiàn)對(duì)受害者設(shè)備上多種敏感信息的竊取，包括但不限于瀏覽器存儲(chǔ)的密碼、加密貨幣錢包密鑰、雙因素認(rèn)證種子等關(guān)鍵數(shù)據(jù)。

圖1. Lumma Stealer攻擊流程示意圖?

攻擊者精心構(gòu)造的虛假CAPTCHA驗(yàn)證頁面如下。

圖2. 虛假CAPTCHA驗(yàn)證頁面?

用戶一旦被誤導(dǎo)，便會(huì)點(diǎn)擊頁面中那個(gè)格外顯眼的“I’m not a robot”按鈕，之后頁面會(huì)彈出一個(gè)提示框，其內(nèi)容為要求受騙用戶按“Win+R”快捷鍵，之后按“Ctrl+V”，最后按回車鍵。攻擊者聲稱以上三步操作是為了進(jìn)行驗(yàn)證，然而其實(shí)際效果是引導(dǎo)用戶打開系統(tǒng)的“運(yùn)行”窗口，再將頁面提供的惡意代碼粘貼到文本框中讓系統(tǒng)執(zhí)行（惡意代碼是在用戶打開頁面時(shí)便已被偷偷植入到系統(tǒng)剪切板中的）。

圖3. 虛假頁面的提示窗及惡意代碼?

混合格式內(nèi)嵌混淆代碼

通過對(duì)頁面植入到系統(tǒng)剪切板中的惡意代碼進(jìn)行分析，發(fā)現(xiàn)mshta所加載的mp3文件內(nèi)嵌入了第一層惡意js腳本。這個(gè)被加載的dodieplay5.mp3實(shí)際上是被攻擊者創(chuàng)建出的混合格式文件：

文件以合法MP3文件頭開始，可以被音頻播放器正常打開；
同時(shí)，文件中還包含了特殊格式的HTML/JavaScript代碼；
惡意代碼會(huì)在文件被mshta加載時(shí)解析執(zhí)行，而在音樂播放器中則會(huì)被忽略。

圖4. 被構(gòu)造的mp3文件中包含的惡意代碼

其中的部分關(guān)鍵JavaScript代碼還經(jīng)過了多層的混淆處理：

圖5. 被混淆的JS代碼

經(jīng)過了兩輪去混淆的解碼操作后，我們得到了一段PowerShell腳本。而解碼出的這段腳本功能主要為下載遠(yuǎn)端數(shù)據(jù)到本地并執(zhí)行。

圖6. 兩輪去混淆解碼后的PowerShell腳本

而下載到的bmp文件與上述的mp3文件形式類似，同樣是帶有多輪混淆惡意代碼的一個(gè)混合格式文件。而經(jīng)過多輪去混淆和解密后，內(nèi)容如下：

圖7. 從bmp文件中多輪去混淆和解密后的惡意PowerShell腳本

經(jīng)過如此繁復(fù)的解密操作后，我們終于得到了最終的惡意功能代碼。這段代碼便是Lumma Stealer加載器代碼，其會(huì)被加載到內(nèi)存中執(zhí)行。

圖8. 最終在內(nèi)存中被加載執(zhí)行的Lumma Stealer代碼

內(nèi)存中的Lumma Stealer

而這個(gè)在內(nèi)存中被加載和執(zhí)行的Lumma Stealer惡意程序具有以下主要功能和技術(shù)特點(diǎn)：

1.??????????? 內(nèi)存操作和反分析機(jī)制

其關(guān)鍵功能為：

l? AMSI繞過
代碼搜索并修改Windows中的“AmsiScanBuffer”函數(shù)，是一種常見的AMSI(反惡意軟件掃描接口)繞過技術(shù)，目的是禁用PowerShell腳本的實(shí)時(shí)掃描功能。

l? 內(nèi)存掃描和修改
使用VirtualQuery、ReadProcessMemory和WriteProcessMemory等API掃描進(jìn)程內(nèi)存，用于搜索包含“clr.dll”的內(nèi)存區(qū)域。

其實(shí)現(xiàn)方式為：

l? 創(chuàng)建動(dòng)態(tài)程序集和Win32 API PInvoke定義。

l? 獲取當(dāng)前進(jìn)程句柄并枚舉所有內(nèi)存區(qū)域。

l? 在內(nèi)存中查找并替換“AmsiScanBuffer”簽名。

2.??????????? 惡意負(fù)載加載技術(shù)

l? Base64解碼
將變量$a中存儲(chǔ)的Base64編碼數(shù)據(jù)解碼為PE文件。

l? 反射加載
使用[System.AppDomain]::CurrentDomain.Load()方法將PE文件直接加載到內(nèi)存中。

l? 無文件執(zhí)行
整個(gè)執(zhí)行過程不將PE文件寫入磁盤，僅在內(nèi)存中運(yùn)行。

l? 動(dòng)態(tài)入口點(diǎn)調(diào)用
自動(dòng)識(shí)別并調(diào)用惡意負(fù)載的入口點(diǎn)函數(shù)。

3.??????????? 隱藏技術(shù)

l? 字符串拆分
將“AmsiScanBuffer”字符串分割為多個(gè)部分($a + $b + $c + $d)以避免靜態(tài)檢測(cè)。

l? 代碼混淆
使用大量合法Windows API和復(fù)雜內(nèi)存操作來混淆真實(shí)意圖。

l? 無DLL導(dǎo)入
通過動(dòng)態(tài)定義和調(diào)用Win32 API而非顯式導(dǎo)入，降低可疑性。

4.??????????? 其他技術(shù)特點(diǎn)

l? 使用IsReadable函數(shù)檢查內(nèi)存區(qū)域是否可讀。

l? 修改內(nèi)存保護(hù)屬性以啟用寫入權(quán)限。

l? 使用GetMappedFileName專門定位CLR相關(guān)的內(nèi)存區(qū)域。

l? 僅在PowerShell的 3.0及以上版本環(huán)境執(zhí)行。

關(guān)于Lumma Stealer

Lumma Stealer（又名 LummaC2 Stealer）是一款用 C 語言編寫的信息竊取程序。自 2022 年 8 月以來，它一直通過惡意軟件即服務(wù)（MaaS）的模式在某俄語論壇上發(fā)布和售賣。其具有感染率成功率高、第三方依賴項(xiàng)少、文件體積小、竊密功能強(qiáng)大、抓取文件效率高等特點(diǎn)。