È stata ribattezzata Lumma Stealer la nuova variante del malware Lumma progettata per rubare informazioni sensibili dagli utenti, tra cui password, dati del browser, dettagli di portafogli di criptovalute e altre informazioni personali.
La sua capacità di eludere i sistemi di sicurezza lo rende particolarmente pericoloso. Il malware venduto tramite modello Malware-as-a-Service (MaaS) utilizza tecniche fileless e multi-stadio per evitare il rilevamento.
Questo significa che può eseguire il suo codice direttamente nella memoria del computer senza scrivere file sul disco e attivarsi in fasi successive rendendo più difficile la sua individuazione da parte dei software antivirus.
Gli attaccanti hanno ora escogitato una nuova tattica di distribuzione del malware per ingannare gli utenti, come dimostra l’ultimo rapporto di Qualys Threat Research Unit (TRU).
Indice degli argomenti
Il CAPTCHA come esca
I ricercatori hanno spiegato che gli utenti verrebbero attirati tramite software legittimo o applicazioni online compromessi ed indotti con una falsa pagina CAPTCHA e una serie di passaggi per la presunta verifica ad attivare inconsapevolmente la catena d’infezione.
“L’aggressore ha avanzato le sue tattiche, passando dal phishing tradizionale alla falsa verifica CAPTCHA, sfruttando software legittimi per distribuire Lumma Stealer. Questi metodi di distribuzione ingannevoli rendono Lumma Stealer una minaccia persistente”, commenta Vishwajeet Kumar, Threat Research Engineer di Qualys. Che aggiunge: “Gli autori delle minacce creano spesso siti di phishing ospitati su vari provider, spesso sfruttando Content Delivery Network (CDN). Questi siti utilizzano exploit o ingannano gli utenti per ottenere l’esecuzione del payload”
Fonte: Qualys.
La catena d’infezione di Lumma Stealer
In pratica, una volta che gli utenti vengono reindirizzati a questi falsi siti CAPTCHA e premono il pulsante di verifica, uno script PowerShell (PS) codificato in Base64 verrebbe copiato negli appunti del computer locale.
Il completamento dei passi successivi innescherebbe così l’esecuzione del comando PS per avviare il primo stadio con un downloader.
“Il codice della pagina web rivela un payload incorporato, in cui una funzione denominata “verify” contiene uno script PowerShell codificato in Base64 che viene copiato negli appunti quando si preme il pulsante di verifica”, continua a spiegare Kumar.
La funzione verify() copia lo script PS negli appunti. Fonte: Qualys.
Successivamente, lo script downloader, sfruttando lo strumento affidabile di Windows “mshta.exe”, scaricherebbe un file poliglotta costituito da un eseguibile PE (Portable Executable) con incorporato al suo interno del codice JavaScript (JS) offuscato.
Fonte: Qualys.
Lo script JS offuscato rivelerebbe un secondo script PowerShell deputato a scaricare l’eseguibile effettivo di Lumma Stealer (“Vectirfree.exe”) insieme alla sua DLL, entrambi estratti rispettivamente da due archivi zip separati.
Allo scopo di eludere il rilevamento, il malware impiegherebbe il “process hollowing” per iniettare il proprio codice nel programma legittimo “BitLockerToGo.exe” ed eseguirebbe uno script .bat per rilevare e terminare i processi antivirus eventualmente presenti.
Una volta operativo, Lumma Stealer cercherebbe file e dati sensibili relativi a criptovaluta e password, esfiltrandoli verso i propri server C2 (solitamente dei domini con TLD di primo livello “.shop”).
Impatti e prevenzione
Lumma Stealer rappresenta una minaccia significativa e l’ultima tattica di distribuzione per ingannare gli utenti con falsi CAPTCHA sottolinea l’importanza di una vigilanza costante e di misure di sicurezza aggiornate.
L’impatto di un’infezione da Lumma Stealer può essere davvero serio. Gli utenti possono perdere l’accesso ai propri account, subire furti di identità e vedere compromessi i propri wallet di criptovalute.
Per prevenire tali attacchi, è fondamentale mantenere aggiornati i software di sicurezza, essere cauti con link e allegati sconosciuti e verificare sempre l’autenticità delle pagine web visitate.
Vale la pena notare che proprio il mese scorso il CERT-AgID ha messo in guardia gli sviluppatori GitHub da presunti messaggi di sicurezza nei loro repository, che sempre tramite false verifiche CAPTCHA innescavano una catena d’infezione per Lumma Stealer simile.
In questo caso, se il malware non riusciva a connettersi alla propria lista di domini C2, veniva attivata una routine alternativa per recuperarla all’interno delle biografie di profili appartenenti alla comunità Steam.
