欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

虛假CAPTCHA投遞Lumma Stealer竊密木馬

2025-04-02 17:49:48
我要分享


微信掃碼分享

Lumma來襲

近期，360安全大腦監測到一款名為Lumma Stealer的惡意軟件傳播量呈現出了上升態勢，而該惡意軟件的傳播方式較為特殊——它是利用了虛假的CAPTCHA驗證發起攻擊。該惡意軟件的攻擊者采用了精心設計的社會工程學策略和多層技術規避機制，其目標直指個人和企業用戶的敏感數據。作為一種以“惡意軟件即服務(MaaS)”進行分發形式的惡意軟件，Lumma Stealer在暗網市場上以每月250~1000美元不等的價格出售，這無疑為網絡犯罪分子提供了一款頗具性價比的攻擊工具。?

攻擊分析

虛假的CAPTCHA驗證

攻擊者通過虛假CAPTCHA驗證頁面作為誘餌，利用mshta加載遠端內嵌惡意腳本的mp3文件。通過這一系列精心設計的步驟，最終實現對受害者設備上多種敏感信息的竊取，包括但不限于瀏覽器存儲的密碼、加密貨幣錢包密鑰、雙因素認證種子等關鍵數據。

圖1. Lumma Stealer攻擊流程示意圖?

攻擊者精心構造的虛假CAPTCHA驗證頁面如下。

圖2. 虛假CAPTCHA驗證頁面?

用戶一旦被誤導，便會點擊頁面中那個格外顯眼的“I’m not a robot”按鈕，之后頁面會彈出一個提示框，其內容為要求受騙用戶按“Win+R”快捷鍵，之后按“Ctrl+V”，最后按回車鍵。攻擊者聲稱以上三步操作是為了進行驗證，然而其實際效果是引導用戶打開系統的“運行”窗口，再將頁面提供的惡意代碼粘貼到文本框中讓系統執行（惡意代碼是在用戶打開頁面時便已被偷偷植入到系統剪切板中的）。

圖3. 虛假頁面的提示窗及惡意代碼?

混合格式內嵌混淆代碼

通過對頁面植入到系統剪切板中的惡意代碼進行分析，發現mshta所加載的mp3文件內嵌入了第一層惡意js腳本。這個被加載的dodieplay5.mp3實際上是被攻擊者創建出的混合格式文件：

文件以合法MP3文件頭開始，可以被音頻播放器正常打開；
同時，文件中還包含了特殊格式的HTML/JavaScript代碼；
惡意代碼會在文件被mshta加載時解析執行，而在音樂播放器中則會被忽略。

圖4. 被構造的mp3文件中包含的惡意代碼

其中的部分關鍵JavaScript代碼還經過了多層的混淆處理：

圖5. 被混淆的JS代碼

經過了兩輪去混淆的解碼操作后，我們得到了一段PowerShell腳本。而解碼出的這段腳本功能主要為下載遠端數據到本地并執行。

圖6. 兩輪去混淆解碼后的PowerShell腳本

而下載到的bmp文件與上述的mp3文件形式類似，同樣是帶有多輪混淆惡意代碼的一個混合格式文件。而經過多輪去混淆和解密后，內容如下：

圖7. 從bmp文件中多輪去混淆和解密后的惡意PowerShell腳本

經過如此繁復的解密操作后，我們終于得到了最終的惡意功能代碼。這段代碼便是Lumma Stealer加載器代碼，其會被加載到內存中執行。

圖8. 最終在內存中被加載執行的Lumma Stealer代碼

內存中的Lumma Stealer

而這個在內存中被加載和執行的Lumma Stealer惡意程序具有以下主要功能和技術特點：

1.??????????? 內存操作和反分析機制

其關鍵功能為：

l? AMSI繞過
代碼搜索并修改Windows中的“AmsiScanBuffer”函數，是一種常見的AMSI(反惡意軟件掃描接口)繞過技術，目的是禁用PowerShell腳本的實時掃描功能。

l? 內存掃描和修改
使用VirtualQuery、ReadProcessMemory和WriteProcessMemory等API掃描進程內存，用于搜索包含“clr.dll”的內存區域。

其實現方式為：

l? 創建動態程序集和Win32 API PInvoke定義。

l? 獲取當前進程句柄并枚舉所有內存區域。

l? 在內存中查找并替換“AmsiScanBuffer”簽名。

2.??????????? 惡意負載加載技術

l? Base64解碼
將變量$a中存儲的Base64編碼數據解碼為PE文件。

l? 反射加載
使用[System.AppDomain]::CurrentDomain.Load()方法將PE文件直接加載到內存中。

l? 無文件執行
整個執行過程不將PE文件寫入磁盤，僅在內存中運行。

l? 動態入口點調用
自動識別并調用惡意負載的入口點函數。

3.??????????? 隱藏技術

l? 字符串拆分
將“AmsiScanBuffer”字符串分割為多個部分($a + $b + $c + $d)以避免靜態檢測。

l? 代碼混淆
使用大量合法Windows API和復雜內存操作來混淆真實意圖。

l? 無DLL導入
通過動態定義和調用Win32 API而非顯式導入，降低可疑性。

4.??????????? 其他技術特點

l? 使用IsReadable函數檢查內存區域是否可讀。

l? 修改內存保護屬性以啟用寫入權限。

l? 使用GetMappedFileName專門定位CLR相關的內存區域。

l? 僅在PowerShell的 3.0及以上版本環境執行。

關于Lumma Stealer

Lumma Stealer（又名 LummaC2 Stealer）是一款用 C 語言編寫的信息竊取程序。自 2022 年 8 月以來，它一直通過惡意軟件即服務（MaaS）的模式在某俄語論壇上發布和售賣。其具有感染率成功率高、第三方依賴項少、文件體積小、竊密功能強大、抓取文件效率高等特點。

圖9. Lumma Stealer在某惡意論壇的售賣頁面

此外，該軟件采用MaaS的訂閱機制，訂閱費用分為：

l? 普通版：US$250/月

l? 專業版：US$500/月

l? 企業版：US$1000美元/月

圖10. Lumma Stealer售價

另外，我們還捕獲到了利用pdf、mov、mp4等格式進行隱藏加載的樣本。

圖11. 其他格式的惡意文件

防護建議

基于對Lumma Stealer攻擊鏈的分析，我們提出以下防護建議來幫助組織和個人有效防范此類威脅：

對于個人用戶

l? 提高警惕性
對任何要求復制執行命令行的網站保持高度警惕，尤其是看似合法的CAPTCHA驗證頁面。

l? 使用密碼管理器
采用安全的密碼管理解決方案，避免在瀏覽器中保存敏感憑證。

l? 啟用兩步驗證
對重要賬戶使用復雜密碼并啟用雙因素認證

l? 定期備份
對關鍵數據進行定期備份，并確保備份與主系統隔離。

l? 及時更新
確保操作系統和安全軟件始終保持最新狀態，以獲取最新的安全補丁。

對于企業及組織

l? 實施終端檢測與響應(EDR)解決方案
部署能夠檢測內存注入和無文件攻擊的現代EDR工具。

l? 應用PowerShell約束語言模式
限制PowerShell的執行能力，減少被惡意腳本利用的可能性。

l? 禁用不必要的組件
特別是阻止MSHTA等LOL類常被濫用的組件在無正當業務需求的環境中運行。

l? 加強網絡監控
設置檢測與阻斷疑似C2通信的網絡監控機制，特別關注分塊數據傳輸模式。

l? 開展安全意識培訓
定期為員工提供有針對性的安全意識培訓，提高對社會工程學攻擊的識別能力。

l? 實施零信任架構
采用以身份為中心的安全模型，要求所有訪問請求進行嚴格驗證。?

360攔截

此外，安裝了360客戶端的用戶請確保360的正常開啟。360無需升級便可直接對該木馬進行有效攔截。

圖12. 360安全大腦攔截mshta.exe加載惡意腳本行為?

同時，360也可通過掃描對帶有惡意代碼的混合格式文件進行識別和查殺。

圖13. 安全衛士掃描并識別帶有惡意代碼的混合格式文件

熱點排行

欧美成人一二区_92看片淫黄大片一级_日韩精品一区二区三区中文_欧美一区二区黄色_国产在线欧美日韩_强伦女教师视频

虛假CAPTCHA投遞Lumma Stealer竊密木馬

熱點排行

關注我們