المتسللين الذين يستخدمون الكابتشا المزيفة لنشر البرامج الضارة لسرقة اللومما

تستخدم الجهات الفاعلة السيئة مطالبات Captcha المزيفة لتوزيع البرامج الضارة Lumma Stealer ، وفقًا للبحث من شركة الأمن السيبراني DNSFilter.

تم اكتشافها لأول مرة على موقع ويب مصرفي يوناني ، وتطلب المطالبة أن يقوم مستخدمو Windows بنسخها ولصقها في مربع الحوار Run ، ثم الضغط على Enter.

تقارير DNSFilter أن عملاء الشركة تفاعلوا مع Captcha المزيفة 23 مرة على مدار ثلاثة أيام ، وأن 17 ٪ من الأشخاص الذين واجهوا المطالبة أكملوا خطواتها على الشاشة ، مما أدى إلى محاولة تسليم الخبيثة.

ما هو Lumma Stealer؟

أوضح Mikey Pruitt ، الشريك العالمي لشركة DNSFilter ، أن Lumma Stealer هو شكل من البرامج الضارة التي تبحث عن جهاز مصاب ببيانات الاعتماد والبيانات الحساسة الأخرى.

وقال “لما قاله رموز 2FA وبيانات محفظة العملة المشفرة وبيانات اعتماد الوصول عن بُعد وحتى قبخات مديرة كلمة مرور” ، “إن Lumma Stealer يكتسح النظام على الفور لأي شيء يمكن أن يتحول إلى الدخل-كلمات مرور وملفات تعريف الارتباط المخزنة. فك تشفير.

أوضح Pruitt أن الممثلين السيئين يستخدمون بيانات مرفوعة لمجموعة متنوعة من الأغراض التي عادة ما تتجول في المكاسب النقدية ، مثل سرقة الهوية والوصول إلى “الحسابات عبر الإنترنت للسرقة المالية أو المعاملات الاحتيالية” ، بالإضافة إلى الوصول إلى العملة المشفرة محافظ.

تتمتع Lumma Stealer بعرض واسع ، وفقًا لـ Pruitt ، ويمكن العثور عليها على مجموعة واسعة من مواقع الويب.

“على الرغم من أننا لا نستطيع التحدث عن المبلغ الذي قد فقده من خلال هذا الطريق ، إلا أن هذا التهديد يمكن أن يكون موجودًا في المواقع غير الضارة” ، أوضح. “هذا يجعل الأمر خطيرًا ومهمًا بشكل لا يصدق أن تكون على دراية عندما تبدو الأمور مشبوهة.”

البرامج الضارة كخدمة

ليس Lumma Stealer برامج ضارة فحسب ، بل مثال على البرامج الضارة كخدمة (MAAS) ، والتي أبلغت عنها شركات الأمن المسؤولة عن ارتفاع هجمات البرامج الضارة في السنوات الأخيرة.

وفقًا لمحلل ESET Malware Jakub Tomanek ، يقوم المشغلون وراء Lumma Stealer بتطوير ميزاته ، ويقومون بتحسين قدرتها على التهرب من الكشف عن البرامج الضارة ، مع تسجيل المجالات لاستضافة البرامج الضارة.

قال فك تشفير، “هدفهم الأساسي هو الحفاظ على الخدمة والمربحة ، وجمع رسوم الاشتراك الشهرية من الشركات التابعة – التي تدير لومما سارق فعليًا باعتبارها شركة إلكترونية مستدامة.”

نظرًا لأنه يتجري مجرمي الإنترنت على الحاجة إلى تطوير البرامج الضارة وأي بنية تحتية أساسية ، فقد أثبتت MAAS مثل Lumma Stealer أنها تحظى بشعبية عنيدة.

في شهر مايو ، استولت وزارة العدل الأمريكية على خمسة مجالات إنترنت كانت تستخدمها الجهات الفاعلة السيئة لتشغيل البرامج الضارة Lumma Stealer ، في حين أن Microsoft على انفراد من 2300 مجال مماثل.

ومع ذلك ، كشفت التقارير أن Lumma Stealer قد أعيد تنفيذها منذ شهر مايو ، مع تحليل يوليو من Trend Micro يوضح أن “عدد الحسابات المستهدفة عاد بشكل مطرد إلى مستوياتها المعتادة” بين يونيو ويوليو.

وصول البرامج الضارة العالمية

جزء من جاذبية Lumma Stealer هو أن الاشتراكات ، التي غالباً ما تكون شهرية ، غير مكلفة بالنسبة إلى المكاسب المحتملة التي يجب تحقيقها.

وقال ناثانيل جونز ، نائب الرئيس للعملة في Darktrace: “متوفر في منتديات الويب المظلمة مقابل أقل من 250 دولارًا ، ويستهدف هذا السارق المعقدة على وجه التحديد أكثر ما يهم إلى مجرمي الإنترنت-محافظ العملة المشفرة ، وبيانات الاعتماد المخزنة للمتصفح ، وأنظمة المصادقة ثنائية العوامل”.

قال جونز فك تشفير أن حجم مآثر سرقة Lumma كان “ينذر بالخطر” ، حيث شهد عام 2023 خسائر تقدر بـ 36.5 مليون دولار ، بالإضافة إلى 400000 جهاز Windows المصاب في غضون شهرين.

وقال “لكن القلق الحقيقي ليس فقط الأرقام-إنها استراتيجية تسييل متعددة الطبقات”. “لا يسرق Lumma البيانات فحسب ، بل يحصد بشكل منهجي تاريخ المتصفح ، ومعلومات النظام ، وحتى ملفات تكوين AnyDesk قبل التخلص من كل شيء لمراكز القيادة الروسية التي يسيطر عليها.”

إن زيادة تهديد سارق Lumma هو حقيقة أن البيانات المسروقة غالبًا ما يتم تغذية مباشرة في “فرق المتتبعين” ، والتي تتخصص في سرقة بيانات الاعتماد وإعادة بيعها.

“هذا يخلق تأثير تتالي مدمر حيث يمكن أن تؤدي العدوى الواحدة إلى اختطاف حساب مصرفي وسرقة عملة مشفرة واحتيال في الهوية التي تستمر لفترة طويلة بعد الخرق الأولي” ، أضاف جونز.

بينما اقترح Darktrace أصلًا روسيًا أو مركزًا لاستغلال Lumma المتعلق بـ Lumma ، لاحظ DNSFilter أن الجهات الفاعلة السيئة التي تستخدم خدمة البرامج الضارة يمكن أن تعمل من أقاليم متعددة.

وقال برويت: “من الشائع أن تشرف هذه الأنشطة الخبيثة على أفراد أو مجموعات من بلدان متعددة” ، مضيفًا أن هذا سائد بشكل خاص “مع استخدام مقدمي الاستضافة الدوليين ومنصات توزيع البرامج الضارة”.