据安全商店的威胁情报团队称,CrowdStrike 是用于诱骗 Windows 用户下载和运行臭名昭著的 Lumma 信息窃取恶意软件的最新诱饵,该团队在 Falcon 传感器更新惨败几天后发现了该骗局。
像 Lumma 这样的信息窃取者会搜索受感染的机器以查找任何存储的敏感信息,例如站点登录详细信息和浏览器历史记录。然后,这些数据被悄悄地泄露给恶意软件的运营商,用于欺诈、盗窃和其他犯罪。
更具体地说,这些被盗信息用于非法访问受害者的在线银行账户和加密货币钱包,以及电子邮件收件箱、远程桌面账户以及其他需要合法登录凭据的应用程序和服务,这使得这种类型的恶意软件在网络骗子中特别受欢迎。
Lumma 是一种相对流行的窃取器,自 2022 年以来在勒索软件团队中的需求量很大。Mandiant表示,这也是犯罪团伙UNC5537用来获取凭据的信息窃取者之一,然后这些凭据随后被用于在今年春天早些时候闯入Snowflake云存储环境。
在 CrowdStrike 活动中,Lumma 构建时间戳“表明演员极有可能在确定 CrowdStrike 的 Falcon 传感器的单一内容更新后的第二天构建了用于分发的样本,”安全商店指出。
域名,crowdstrike-office365[.]com 于 7 月 23 日注册,就在 CrowdStrike 7 月 19 日的错误更新导致 850 万台 Windows 机器崩溃的几天后。据推测,该域名背后的组织与 6 月份早些时候的社会工程攻击有关,该攻击还分发了 Lumma 恶意软件。
在这些早期的信息窃取活动中,不法分子向网络钓鱼电子邮件发送垃圾邮件,然后跟进声称来自 Microsoft Teams 服务台员工的电话。
CrowdStrike 团队报告说:“基于活动之间的共享基础设施和企业网络的明显目标,CrowdStrike Intelligence 以适度的信心评估该活动可能归因于同一未具名的威胁行为者。
虚假的 CrowdStrike 域试图诱骗用户点击并获取一个.zip文件,声称这是一个恢复工具,用于修复由错误的传感器更新引起的启动循环。该存档包含一个 Microsoft 安装程序文件 WidowsSystem-update[.]MSI,它实际上是一个恶意软件加载器。
加载器被标记执行后,它会丢弃并运行自解压 RAR 文件 plenrco[.]exe,具有一个名为 SymposiumTaiwan[.] 的 Nullsoft 可编程安装系统 (NSIS) 安装程序。exe文件。该文件包含合法 AutoIt 可执行文件的一些代码片段,该可执行文件经过严重混淆,如果受害者的计算机正在运行防病毒软件,则该可执行文件将终止。
但是,假设海岸是清晰的,并且恶意软件可以在未被发现的情况下继续存在,则AutoIt加载程序会运行两个shellcode之一,具体取决于它是32位还是64位系统,并最终部署Lumma恶意软件。
就在 CrowdStrike 狡猾的传感器更新使 Windows 机器陷入蓝屏漩涡几个小时后,有报道称诈骗电子邮件利用停电作为诱饵,并声称来自 CrowdStrike 支持或 CrowdStrike Security。该安全公司声称,97%的受影响系统现在已重新上线。
发表评论
您还未登录,请先登录。
登录