Erik Westhovens: forse stijging Lummastealer incidenten
Erik Westhovens (foto), security expert bij Ransomwared, ziet we in de laatste dagen een zeer forse stijging in het aantal succesvolle Lummastealer incidenten. "Deze worden gedetecteerd, maar het kwaad is dan al geschied. Er zit dan niets anders meer op dan de PC of laptop in kwestie in isolatie te plaatsen en geheel opnieuw ion te richten met Windows" zo meldt Westhovens op LinkedIn.
Hoe de aanval werkt
Westhovens meldt: Tijdens het browsen op internet of het lezen van emails krijgt de gebruiker een pagina te zien waarvan we onderaan een paar screenshots hebben geplaatst. Vaak zijn dit gekaapte websites, maar we komen ze ook al tegen op facebook, tiktok filmpjes en online games. Als de gebruiker dan een re-captcha krijgt waarbi jde tekst staat: Verify youre a human, en de stappen worden uitgevoerd dan word er een gevaarlijk stukje software geladen. We kennen hier nu twee varianten in. De eerste laad de software en heeft local admin rechten nodig. Als de gebruiker deze heeft, dan word de malware geladen en met elevation word dan de infostealer software geplaatst.
De tweede variant die we nu snel zien groeien maakt gebruik van living of the land binaries (LOTL) en word in het geheugen geladen. Bij deze variant word naast de infostealer ook gebruik gemaakt van een relatief onbekende zero day in Windows die weer weer gebruik maakt van RID. RID is een techniek waarmee elevation gekaapt word.
Hoe te detecteren:
De aanval is prima te detecteren en we zien een paar meldingen. Twee van deze tegelijkertijd wijst op Lummastealer of Vidar stealer zoals ook al eens gemeld word.
Bij de meldingen komt er altijd een van de volgende voor:
UAC bypass was detected gevolgd door een suspicious powershell. (deze variant is een living of the land variant.
LOTL binarie was detected gevolgd door een suspicious powershell.
Clickfix malware was detected
Suspicious command in RUNMRU was detected.
Suspicious mshta process launched
Suspicious Powershell command line was detected
In alle gevallen is het het beste om isolate te gebruiken. Mocht je twijfelen of feedback op een alert willen, schroom dan niet om ons te contacteren.
NEGEER DEZE ALERTS NIET. DIT IS EEN ZEER SERIEUZE EN GEVAARLIJKE DREIGING.
Bijgevoegd enkele voorbeelden die we nu hebben gezien.
Vanuit Ransomwared adviseren we om met behulp van de bijgevoegde voorbeelden al uw gebruikers te waarschuwen zodat men zich bewust is van deze dreiging.
Door: Erik Westhovens, Ransomwared
Dutch IT events
Alle events
Meer over Security
Over Witold Kepinski
