3 min Security

Phishingcampagne bootst CAPTCHA na om malware te verspreiden

Phishingcampagne bootst CAPTCHA na om malware te verspreiden

CloudSEK onthult een geavanceerde methode voor het verspreiden van de Lumma Stealer-malware. Dit is een ernstige bedreiging voor Windows-gebruikers.  

Deze techniek maakt volgens TechRadar gebruik van misleidende verificatiepagina’s om gebruikers onbewust schadelijke commando’s te laten uitvoeren. Hoewel de campagne zich voornamelijk richt op de verspreiding van Lumma Stealer-malware, kan deze methode mogelijk worden aangepast om een breed scala aan andere schadelijke software te verspreiden.  

De campagne maakt gebruik van vertrouwde platforms zoals Amazon S3 en verschillende Content Delivery Networks (CDN’s) om phishingwebsites te hosten. Hier wordt modulaire malware geleverd, waarbij het initiële uitvoerbare bestand extra componenten of modules downloadt. Dit bemoeilijkt detectie en analyse.  

CAPTCHA-verificatiepagina

De infectieketen begint wanneer slachtoffers worden gelokt naar phishingwebsites die legitieme Google CAPTCHA-verificatiepagina’s nabootsen. Criminelen presenteren deze pagina’s als een noodzakelijke verificatiestap, waardoor gebruikers denken dat ze een standaardbeveiligingscontrole voltooien.  

De aanval wordt nog geraffineerder zodra de gebruiker op de knop Verifiëren klikt. Achter de schermen activeert een verborgen JavaScript-functie een base64-gecodeerd PowerShell-commando dat op het klembord van de gebruiker wordt gekopieerd zonder dat deze het merkt. 

De phishingpagina instrueert vervolgens de gebruiker om een reeks ongebruikelijke stappen uit te voeren. Denk daarbij aan het openen van het dialoogvenster Uitvoeren (Win+R) en het geplakte commando in te voeren.  

Wanneer men de instructies opvolgt, wordt het PowerShell-commando uitgevoerd in een verborgen venster. Dit maakt detectie door het slachtoffer vrijwel onmogelijk. 

Het verborgen PowerShell-commando maakt verbinding met een externe server om extra inhoud te downloaden, zoals een tekstbestand (a.txt) met instructies om de Lumma Stealer-malware te verkrijgen en uit te voeren. Zodra de malware op het systeem is geïnstalleerd, legt deze verbinding met domeinen die door de aanvallers worden gecontroleerd. Hierdoor kunnen de aanvallers het systeem compromitteren, gevoelige gegevens stelen en mogelijk verdere schadelijke activiteiten uitvoeren. 

Proactieve verdediging

Om deze phishingcampagne tegen te gaan, moeten zowel gebruikers als organisaties prioriteit geven aan bewustzijn over beveiliging en proactieve verdedigingen implementeren. 

De misleidende aard van deze aanvallen – vermomd als legitieme verificatieprocessen – benadrukt het belang van het informeren van gebruikers over de gevaren van het volgen van verdachte prompts, vooral wanneer gevraagd wordt onbekende commando’s te kopiëren en te plakken.  

Men moet gebruikers trainen om phishingtactieken te herkennen. En om vraagtekens te zetten bij onverwachte CAPTCHA-verificaties. En bij onbekende instructies die het uitvoeren van systeemcommando’s omvatten.  

Robuuste endpoint-bescherming

Het implementeren van geavanceerde beveiligingstools is essentieel om PowerShell-gebaseerde aanvallen te voorkomen. Aangezien de aanvallers in deze campagne sterk afhankelijk zijn van PowerShell, moeten organisaties ervoor zorgen dat hun beveiligingsoplossingen activiteiten met betrekking tot PowerShell kunnen detecteren en blokkeren.

Tools met gedragsanalyse en realtime monitoring kunnen ongebruikelijke commando-uitvoeringen detecteren en voorkomen dat malware wordt gedownload en geïnstalleerd.  

Organisaties moeten netwerkverkeer controleren op verdachte activiteiten. Beveiligingsteams moeten extra aandacht besteden aan verbindingen met nieuw geregistreerde of ongebruikelijke domeinen, die aanvallers vaak gebruiken om malware te verspreiden. Of om gevoelige gegevens te stelen.  

Het bijwerken van systemen met de nieuwste patches is een cruciale verdedigingsmaatregel. Regelmatige updates zorgen ervoor dat men bekende kwetsbaarheden oplost, waardoor aanvallers minder kansen krijgen om verouderde software te misbruiken voor het verspreiden van malware zoals Lumma Stealer.