Lumma Stealer: gevaarlijke malware is vermomd als CAPTCHA

Vermomd als legitieme software

Onderzoekers vermoeden dat gebruikers naar deze nep-CAPTCHA-sites worden geleid via kwadaardige software of openbare applicaties. Wanneer gebruikers op de knop "Ik ben geen robot" klikken, verschijnen er verificatiestappen. Het voltooien van deze stappen activeert een PowerShell-commando die een malware downloader op het doelapparaat downloadt.

Meerdere lagen van misleiding

De webpaginacode bevat een verborgen script dat bij het klikken op de verificatieknop een Base64-gecodeerd PowerShell-script naar het klembord kopieert. Vervolgens gebruikt de malware een techniek genaamd "polyglot" om legitieme Windows-hulpprogramma's te misbruiken voor het uitvoeren van kwaadaardige scripts.

Uiteindelijke Payload: Lumma Stealer

Het uiteindelijke script downloadt en voert "Victirfree.exe" (Lumma Stealer) uit. Deze malware gebruikt "process hollowing" om een legitiem programma te injecteren met zijn eigen kwaadaardige code. Daarnaast zoekt Lumma Stealer naar gevoelige bestanden en data op het gecompromitteerde systeem, waaronder wachtwoordbestanden en cryptocurrency wallets.

Qualys EDR biedt bescherming

Qualys EDR kan deze aanval op verschillende manieren tegenhouden. De oplossing kan verdachte PowerShell-commando's identificeren en blokkeren voordat ze worden uitgevoerd. Daarnaast kan Qualys EDR de gecodeerde payloads decoderen en de acties van de malware monitoren.

Commentaar Erik Westhovens

Cybersecurity specialist Erik Westhovens meld hierover op LinkedIn: "Heb je je webshop of site achter een Cloudflare oplossing hangen en zie je je omzet en bezoekers opeens flink terug lopen? Dan heb je een probleem. Lummastealer is on the rise en de hackers verbergen hun tactieken en malware achter Cloudflare proxies die nu massaal op de rode lijst terecht zijn gekomen en waardoor honderden, zo niet duizenden websites niet meer bereikbaar zijn."