揭秘 LummaStealer 恶意软件:虚假验证码如何攻陷预订网站
预订威胁:LummaStealer 虚假验证码攻击内幕
攻击概述
2025 年 1 月,G DATA 分析师发现针对预订网站的复杂攻击活动。攻击者通过伪造的 CAPTCHA 验证页面分发 LummaStealer 恶意样本。这款自 2022 年出现的窃密软件采用 MaaS(恶意软件即服务)模式运营。
最初攻击目标为菲律宾巴拉望岛的旅行预订,一周后更新为德国慕尼黑的酒店预订,显示出攻击者的全球化攻击趋势。与以往通过 GitHub 或 Telegram 传播不同,这是 LummaStealer 首次被发现利用预订网站进行传播。
关键发现
新型攻击方式:通过虚假验证码提示向预订网站用户投递恶意负载
全球攻击范围:已观察到菲律宾和德国等国家的受害者
感染链特征:诱导用户通过 Windows 运行命令执行 PowerShell 指令
样本体积异常:本次攻击样本达 9MB,比其他版本大 350%,伪装成合法安装程序
感染链分析
阶段 1:伪造预订确认链接与虚假验证码
攻击始于受害者访问伪造的预订确认链接(如:hxxps://payment-confirmation.82736[.]store/pgg46),该链接重定向至包含 booking.com 模糊文档的钓鱼页面。页面要求用户完成"我不是机器人"验证,实际会诱导用户执行恶意命令。
阶段 2:混淆的 PHP 脚本
页面加载的 JS 脚本会从远程 URL 获取经过 ROT13 加密的 PHP 脚本。解密后显示该脚本会将 Base64 编码的 PowerShell 命令复制到受害者剪贴板。
阶段 3:负载下载机制
Base64 解码后的命令会在 Windows 运行服务中执行 PowerShell 脚本,从攻击者服务器下载并执行最终负载。
阶段 4:LummaStealer 负载
收集到的样本均采用二进制填充技术(文件大小 3MB-9MB),并运用间接控制流混淆技术。分析发现样本使用调度程序块动态计算运行时目标地址,增加分析难度。
攻击关联分析
同一主机服务器还托管了多个仿冒 booking.com 的钓鱼网站,用于窃取 PayPal 凭证。通过 VirusTotal 关联分析发现多个子域名采用相同攻击手法。
结论
LummaStealer 正在快速演变,其攻击方式与臭名昭著的 Emotet 银行木马相似。攻击者采用新型 ClickFix 社会工程技术,预计未来数月将持续活跃。安全社区将保持警惕,持续跟踪分析此类威胁。
威胁指标(IoC)
URL
hxxps://payment-confirmation.82736[.]store/pgg46
hxxps://booking[.]procedeed-verific[.]com/goo_pdf
LummaStealer 样本 SHA256
7b3bd767ff532b3593e28085940646f145b9f32f2ae97dfa7cdd652a6494257d
8bfdffcee5951982691af1678f899b39b851b6fd3167d3354c62385fb9b7eac02
0419a1942af24e21f988249db2c1748509471cca6b5b7fe9305eac817c5c4d41
MITRE ATT&CK 框架映射
T1059.003 Windows 命令脚本
T1059.001 PowerShell
T1105 入口工具传输
T1115 剪贴板数据收集
T1027.010 命令混淆
T1027.001 二进制填充更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码
- 办公AI智能小助手
评论