Lumma Stealer từng bị quấy rầy đã trở lại với những mồi nhử khó cưỡng lại

Một phần cốt lõi của sự hồi sinh là việc sử dụng CastleLoader, một phần mềm độc hại riêng biệt được cài đặt ban đầu. Nó chỉ chạy trong bộ nhớ, khiến nó khó bị phát hiện hơn nhiều so với phần mềm độc hại nằm trên ổ cứng. Mã của nó bị xáo trộn nặng nề, khiến nó khó phát hiện ra ác ý của nó ngay cả khi máy quét phần mềm độc hại có thể nhìn thấy nó. CastleLoader cũng cung cấp một cơ chế truyền thông lệnh và điều khiển linh hoạt và đầy đủ tính năng mà người dùng có thể tùy chỉnh để đáp ứng nhu cầu cụ thể của h.

CastleLoader chia sẻ một số cơ sở hạ tầng được xây dựng lại gần đây của Lumma, một dấu hiệu cho thấy các nhà khai thác đang làm việc cùng nhau hoặc ít nhất là phối hợp các hoạt động của h. Trong các trường hợp khác, Lumma chủ yếu dựa vào cơ sở hạ tầng hợp pháp— từ mạng phân phối nội dung Steam Workshop và các tệp chia sẻ Discord— sẽ được cài đặt. Việc sử dụng các nền tảng đáng tin cậy giúp giảm bớt sự nghi ngờ của target’. Trong cả hai trường hợp, sau khi trình tải được thực thi, nó sẽ lén lút đào sâu vào máy bị nhiễm và sau khi hạ thấp hệ thống phòng thủ, sẽ cài đặt tải trọng thứ hai: Lumma.

Thật dễ dàng để rơi vào ClickFix

Mọi người đã quá quen với CAPTCHA khó giải quyết đến nỗi họ ít suy nghĩ khi được hướng dẫn sao chép văn bản do trang web cung cấp, nhấp vào phím Win-R và sau đó chọn dán. Khi hành động đơn giản này được thực hiện, Lumma có quyền kiểm soát miễn phí một loạt tệp nhạy cảm được lưu trữ trên các máy bị nhiễm. Bitdefender cho biết dữ liệu bao gồm:

• Thông tin xác thực được lưu trong trình duyệt web
• Cookie
• Tài liệu cá nhân (.docx, .pdf, vv)
• Các tệp nhạy cảm chứa thông tin tài chính, khóa bí mật (bao gồm khóa đám mây), mã sao lưu 2FA và mật khẩu máy chủ, cũng như khóa riêng tiền điện tử và dữ liệu ví
• Dữ liệu cá nhân như số ID, địa chỉ, hồ sơ y tế, số thẻ tín dụng và ngày sinh
• Ví tiền điện tử và tiện ích mở rộng trình duyệt được liên kết với các dịch vụ phổ biến như MetaMask, Binance, Electrum, Ethereum, Exodus, Coinomi, Bitcoin Core, JAXX và Steem Keychain.
• Dữ liệu từ các công cụ truy cập từ xa và trình quản lý mật khẩu, cụ thể là AnyDesk và KeePass.
• Mã thông báo và tiện ích mở rộng xác thực hai yếu tố (2FA) như Authenticator, Authy, EOS Authenticator, GAuth Authenticator và Trezor Password Manager.
• Thông tin từ VPN (tệp.ovpn), các ứng dụng email khác nhau (Gmail, Outlook, Yahoo) và ứng dụng FTP.
• Siêu dữ liệu hệ thống, bao gồm thông tin CPU, phiên bản hệ điều hành (Windows 7 đến Windows 11), ngôn ngữ hệ thống, ứng dụng đã cài đặt, tên người dùng, ID phần cứng và độ phân giải màn hình, rất hữu ích cho việc lập hồ sơ nạn nhân hoặc điều chỉnh các hoạt động khai thác trong tương lai.

“Hiệu quả của ClickFix nằm ở việc lạm dụng sự tin cậy về thủ tục hơn là các lỗ hổng kỹ thuật,” Bitdefender cho biết. “Hướng dẫn này giống với các bước khắc phục sự cố hoặc giải pháp xác minh mà người dùng có thể đã gặp trước đó. Do đó, nạn nhân thường không nhận ra rằng họ đang thực thi mã tùy ý theo cách thủ công trên hệ thống của chính họ.”

Trong khi Lumma chỉ nhắm mục tiêu đến người dùng Windows, các chiến dịch phần mềm độc hại khác đã sử dụng kỹ thuật tương tự để lây nhiễm vào máy macOS ít nhất là từ đó tháng 6 vừa qua. Các cuộc tấn công ClickFix gần đây hơn vào người dùng macOS đã có tiếp tục vào năm nay.

Cách phòng thủ tốt nhất chống lại ClickFix là tránh xa các trang web cung cấp nội dung miễn phí. Windows và macOS cung cấp phương tiện để yêu cầu mật khẩu trước khi có thể mở thiết bị đầu cuối lệnh. Những người có kỹ năng kỹ thuật quản lý máy thay mặt cho những người dùng ít kinh nghiệm hơn cũng có thể muốn xem xét sử dụng biện pháp phòng vệ sau này.