Witold Kepinski - 26 november 2024

Lumma Stealer: gevaarlijke malware is vermomd als CAPTCHA

Recent onderzoek van Qualys Threat Research Unit (TRU) toont aan dat de malware Lumma Stealer zich aanpast aan nieuwe detectiemethoden. De malware, die gevoelige informatie zoals wachtwoorden, browsergegevens en cryptocurrency wallet details steelt, gebruikt nu misleidende CAPTCHA-verificatiepagina's om zich te verspreiden. Lumma Stealer is een gevaarlijke malware die zich voortdurend aanpast. De malware gebruikt misleidende methoden en misbruikt legitieme software om detectie te voorkomen. Het is cruciaal om endpoint detectie en respons (EDR) oplossingen in te zetten om dit soort dreigingen te detecteren en te blokkeren.

Vermomd als legitieme software

Onderzoekers vermoeden dat gebruikers naar deze nep-CAPTCHA-sites worden geleid via kwadaardige software of openbare applicaties. Wanneer gebruikers op de knop "Ik ben geen robot" klikken, verschijnen er verificatiestappen. Het voltooien van deze stappen activeert een PowerShell-commando die een malware downloader op het doelapparaat downloadt.

Meerdere lagen van misleiding

De webpaginacode bevat een verborgen script dat bij het klikken op de verificatieknop een Base64-gecodeerd PowerShell-script naar het klembord kopieert. Vervolgens gebruikt de malware een techniek genaamd "polyglot" om legitieme Windows-hulpprogramma's te misbruiken voor het uitvoeren van kwaadaardige scripts.

Uiteindelijke Payload: Lumma Stealer

Het uiteindelijke script downloadt en voert "Victirfree.exe" (Lumma Stealer) uit. Deze malware gebruikt "process hollowing" om een legitiem programma te injecteren met zijn eigen kwaadaardige code. Daarnaast zoekt Lumma Stealer naar gevoelige bestanden en data op het gecompromitteerde systeem, waaronder wachtwoordbestanden en cryptocurrency wallets.

Qualys EDR biedt bescherming

Qualys EDR kan deze aanval op verschillende manieren tegenhouden. De oplossing kan verdachte PowerShell-commando's identificeren en blokkeren voordat ze worden uitgevoerd. Daarnaast kan Qualys EDR de gecodeerde payloads decoderen en de acties van de malware monitoren.

Commentaar Erik Westhovens

Cybersecurity specialist Erik Westhovens meld hierover op LinkedIn: "Heb je je webshop of site achter een Cloudflare oplossing hangen en zie je je omzet en bezoekers opeens flink terug lopen? Dan heb je een probleem. Lummastealer is on the rise en de hackers verbergen hun tactieken en malware achter Cloudflare proxies die nu massaal op de rode lijst terecht zijn gekomen en waardoor honderden, zo niet duizenden websites niet meer bereikbaar zijn."