色婷婷激婷婷深爱五月小说-色婷婷精品-色婷婷精品大全在线视频-色婷婷精品视频-全免费午夜一级毛片真人-全免费一级毛片在线播放

虛假CAPTCHA投遞Lumma Stealer竊密木馬

2025-04-02 17:49:48
我要分享


微信掃碼分享

Lumma來襲

近期，360安全大腦監(jiān)測到一款名為Lumma Stealer的惡意軟件傳播量呈現(xiàn)出了上升態(tài)勢，而該惡意軟件的傳播方式較為特殊——它是利用了虛假的CAPTCHA驗證發(fā)起攻擊。該惡意軟件的攻擊者采用了精心設(shè)計的社會工程學(xué)策略和多層技術(shù)規(guī)避機制，其目標直指個人和企業(yè)用戶的敏感數(shù)據(jù)。作為一種以“惡意軟件即服務(wù)(MaaS)”進行分發(fā)形式的惡意軟件，Lumma Stealer在暗網(wǎng)市場上以每月250~1000美元不等的價格出售，這無疑為網(wǎng)絡(luò)犯罪分子提供了一款頗具性價比的攻擊工具。?

攻擊分析

虛假的CAPTCHA驗證

攻擊者通過虛假CAPTCHA驗證頁面作為誘餌，利用mshta加載遠端內(nèi)嵌惡意腳本的mp3文件。通過這一系列精心設(shè)計的步驟，最終實現(xiàn)對受害者設(shè)備上多種敏感信息的竊取，包括但不限于瀏覽器存儲的密碼、加密貨幣錢包密鑰、雙因素認證種子等關(guān)鍵數(shù)據(jù)。

圖1. Lumma Stealer攻擊流程示意圖?

攻擊者精心構(gòu)造的虛假CAPTCHA驗證頁面如下。

圖2. 虛假CAPTCHA驗證頁面?

用戶一旦被誤導(dǎo)，便會點擊頁面中那個格外顯眼的“I’m not a robot”按鈕，之后頁面會彈出一個提示框，其內(nèi)容為要求受騙用戶按“Win+R”快捷鍵，之后按“Ctrl+V”，最后按回車鍵。攻擊者聲稱以上三步操作是為了進行驗證，然而其實際效果是引導(dǎo)用戶打開系統(tǒng)的“運行”窗口，再將頁面提供的惡意代碼粘貼到文本框中讓系統(tǒng)執(zhí)行（惡意代碼是在用戶打開頁面時便已被偷偷植入到系統(tǒng)剪切板中的）。

圖3. 虛假頁面的提示窗及惡意代碼?

混合格式內(nèi)嵌混淆代碼

通過對頁面植入到系統(tǒng)剪切板中的惡意代碼進行分析，發(fā)現(xiàn)mshta所加載的mp3文件內(nèi)嵌入了第一層惡意js腳本。這個被加載的dodieplay5.mp3實際上是被攻擊者創(chuàng)建出的混合格式文件：

文件以合法MP3文件頭開始，可以被音頻播放器正常打開；
同時，文件中還包含了特殊格式的HTML/JavaScript代碼；
惡意代碼會在文件被mshta加載時解析執(zhí)行，而在音樂播放器中則會被忽略。

圖4. 被構(gòu)造的mp3文件中包含的惡意代碼

其中的部分關(guān)鍵JavaScript代碼還經(jīng)過了多層的混淆處理：

圖5. 被混淆的JS代碼

經(jīng)過了兩輪去混淆的解碼操作后，我們得到了一段PowerShell腳本。而解碼出的這段腳本功能主要為下載遠端數(shù)據(jù)到本地并執(zhí)行。

圖6. 兩輪去混淆解碼后的PowerShell腳本

而下載到的bmp文件與上述的mp3文件形式類似，同樣是帶有多輪混淆惡意代碼的一個混合格式文件。而經(jīng)過多輪去混淆和解密后，內(nèi)容如下：

圖7. 從bmp文件中多輪去混淆和解密后的惡意PowerShell腳本

經(jīng)過如此繁復(fù)的解密操作后，我們終于得到了最終的惡意功能代碼。這段代碼便是Lumma Stealer加載器代碼，其會被加載到內(nèi)存中執(zhí)行。

圖8. 最終在內(nèi)存中被加載執(zhí)行的Lumma Stealer代碼

內(nèi)存中的Lumma Stealer

而這個在內(nèi)存中被加載和執(zhí)行的Lumma Stealer惡意程序具有以下主要功能和技術(shù)特點：

1.??????????? 內(nèi)存操作和反分析機制

其關(guān)鍵功能為：

l? AMSI繞過
代碼搜索并修改Windows中的“AmsiScanBuffer”函數(shù)，是一種常見的AMSI(反惡意軟件掃描接口)繞過技術(shù)，目的是禁用PowerShell腳本的實時掃描功能。

l? 內(nèi)存掃描和修改
使用VirtualQuery、ReadProcessMemory和WriteProcessMemory等API掃描進程內(nèi)存，用于搜索包含“clr.dll”的內(nèi)存區(qū)域。

其實現(xiàn)方式為：

l? 創(chuàng)建動態(tài)程序集和Win32 API PInvoke定義。

l? 獲取當前進程句柄并枚舉所有內(nèi)存區(qū)域。

l? 在內(nèi)存中查找并替換“AmsiScanBuffer”簽名。

2.??????????? 惡意負載加載技術(shù)

l? Base64解碼
將變量$a中存儲的Base64編碼數(shù)據(jù)解碼為PE文件。

l? 反射加載
使用[System.AppDomain]::CurrentDomain.Load()方法將PE文件直接加載到內(nèi)存中。

l? 無文件執(zhí)行
整個執(zhí)行過程不將PE文件寫入磁盤，僅在內(nèi)存中運行。

l? 動態(tài)入口點調(diào)用
自動識別并調(diào)用惡意負載的入口點函數(shù)。

3.??????????? 隱藏技術(shù)

l? 字符串拆分
將“AmsiScanBuffer”字符串分割為多個部分($a + $b + $c + $d)以避免靜態(tài)檢測。

l? 代碼混淆
使用大量合法Windows API和復(fù)雜內(nèi)存操作來混淆真實意圖。

l? 無DLL導(dǎo)入
通過動態(tài)定義和調(diào)用Win32 API而非顯式導(dǎo)入，降低可疑性。

4.??????????? 其他技術(shù)特點

l? 使用IsReadable函數(shù)檢查內(nèi)存區(qū)域是否可讀。

l? 修改內(nèi)存保護屬性以啟用寫入權(quán)限。

l? 使用GetMappedFileName專門定位CLR相關(guān)的內(nèi)存區(qū)域。

l? 僅在PowerShell的 3.0及以上版本環(huán)境執(zhí)行。

關(guān)于Lumma Stealer

Lumma Stealer（又名 LummaC2 Stealer）是一款用 C 語言編寫的信息竊取程序。自 2022 年 8 月以來，它一直通過惡意軟件即服務(wù)（MaaS）的模式在某俄語論壇上發(fā)布和售賣。其具有感染率成功率高、第三方依賴項少、文件體積小、竊密功能強大、抓取文件效率高等特點。