«Мошенники в диалоговом окне фейк-скрипта CAPTCHA предлагают пользователю выполнить следующие действия: вставить выведенную на экран вредоносную команду PowerShell в диалоговое окно "Выполнить" в Windows или в интерфейс командной строки. После реализации инструкции происходит магия запуска ВПО: на устройство прилетает полезная нагрузка, замаскированная под "ArtistSponsorship.exe", а исполняемый файл загружает ряд скриптов для сбора данных из временных каталогов пользователя (%temp%) и последующей эксфильтрации собранных данных. Фиксировалась передача файла размером 6,37 МБ данных, что говорит о продвинутом потенциале стилера», — объясняет Дмитриева.
«Другой вектор атаки — заставить пользователя открыть вредоносный PDF с ярлыком .lnk, который запускает скрипт PowerShell. Этот скрипт использует шифрование AES и динамическое разрешение API и маскирует свои действия с помощью кодировки base64», — отметила эксперт.
По оценкам Netskope Threat Labs, в этой кампании может быть задействовано около 5000 поддельных сайтов с вредоносной CAPTCHA, что увеличивает масштабы угрозы.
Lumma Stealer остаётся серьёзной угрозой в 2025 году, что, в свою очередь, накладывает необходимость для компаний использовать расширенный поведенческий анализ и тщательно отслеживать сетевую активность на предмет признаков связи с С2 или утечки данных, чтобы опережать работу стилеров.
«Для детектирования подобных угроз может помочь продукт выявления аномальной активности на пользовательских хостах в контексте поведенческого анализа. С этим поможет продукт Ankey ASAP, который предлагает компания "Газинформсервис". Однако данные инструменты злоумышленников предполагают и проведение обучения среди пользователей — врага нужно идентифицировать "на берегу"», — заключает киберспециалист.
