预订威胁：LummaStealer 虚假验证码攻击内幕

攻击概述

2025 年 1 月，G DATA 分析师发现针对预订网站的复杂攻击活动。攻击者通过伪造的 CAPTCHA 验证页面分发 LummaStealer 恶意样本。这款自 2022 年出现的窃密软件采用 MaaS（恶意软件即服务）模式运营。

最初攻击目标为菲律宾巴拉望岛的旅行预订，一周后更新为德国慕尼黑的酒店预订，显示出攻击者的全球化攻击趋势。与以往通过 GitHub 或 Telegram 传播不同，这是 LummaStealer 首次被发现利用预订网站进行传播。

关键发现

• 新型攻击方式：通过虚假验证码提示向预订网站用户投递恶意负载

• 全球攻击范围：已观察到菲律宾和德国等国家的受害者

• 感染链特征：诱导用户通过 Windows 运行命令执行 PowerShell 指令

• 样本体积异常：本次攻击样本达 9MB，比其他版本大 350%，伪装成合法安装程序

感染链分析

阶段 1：伪造预订确认链接与虚假验证码

攻击始于受害者访问伪造的预订确认链接（如：hxxps://payment-confirmation.82736[.]store/pgg46），该链接重定向至包含 booking.com 模糊文档的钓鱼页面。页面要求用户完成"我不是机器人"验证，实际会诱导用户执行恶意命令。

阶段 2：混淆的 PHP 脚本

页面加载的 JS 脚本会从远程 URL 获取经过 ROT13 加密的 PHP 脚本。解密后显示该脚本会将 Base64 编码的 PowerShell 命令复制到受害者剪贴板。

阶段 3：负载下载机制

Base64 解码后的命令会在 Windows 运行服务中执行 PowerShell 脚本，从攻击者服务器下载并执行最终负载。

阶段 4：LummaStealer 负载

收集到的样本均采用二进制填充技术（文件大小 3MB-9MB），并运用间接控制流混淆技术。分析发现样本使用调度程序块动态计算运行时目标地址，增加分析难度。

攻击关联分析

同一主机服务器还托管了多个仿冒 booking.com 的钓鱼网站，用于窃取 PayPal 凭证。通过 VirusTotal 关联分析发现多个子域名采用相同攻击手法。

结论

LummaStealer 正在快速演变，其攻击方式与臭名昭著的 Emotet 银行木马相似。攻击者采用新型 ClickFix 社会工程技术，预计未来数月将持续活跃。安全社区将保持警惕，持续跟踪分析此类威胁。

威胁指标(IoC)

URL

• hxxps://payment-confirmation.82736[.]store/pgg46

• hxxps://booking[.]procedeed-verific[.]com/goo_pdf

LummaStealer 样本 SHA256

• 7b3bd767ff532b3593e28085940646f145b9f32f2ae97dfa7cdd652a6494257d

• 8bfdffcee5951982691af1678f899b39b851b6fd3167d3354c62385fb9b7eac02

• 0419a1942af24e21f988249db2c1748509471cca6b5b7fe9305eac817c5c4d41

MITRE ATT&CK 框架映射

• T1059.003 Windows 命令脚本

• T1059.001 PowerShell

• T1105 入口工具传输

• T1115 剪贴板数据收集

• T1027.010 命令混淆

• T1027.001 二进制填充更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

• 

  办公AI智能小助手