Phishingsite bootst webelementen na zoals CAPTCHA-pagina's voor verspreiding van malware

CloudSek heeft een geavanceerde phishingcampagne ontdekt die zich richt op Windows-gebruikers door het nabootsen van CAPTCHA-verificatiepagina's om de Lumma Stealer-malware te verspreiden. Deze aanvalsmethode vormt een ernstige bedreiging, aangezien het gebruikers misleidt en hen onbewust schadelijke opdrachten laat uitvoeren.

Werking van de phishingcampagne

De campagne maakt gebruik van vertrouwde platforms zoals Amazon S3 en diverse Content Delivery Networks (CDN's) om phishingwebsites te hosten. Via een modulaire malwareleveringsstrategie wordt een initiële uitvoerbaar bestand gebruikt om aanvullende componenten of modules te downloaden. Dit bemoeilijkt detectie en analyse door beveiligingsexperts.

De infectieketen start wanneer slachtoffers via misleidende e-mails of andere methoden worden geleid naar phishingpagina's die legitieme Google CAPTCHA-verificatiepagina's imiteren. De gebruiker krijgt de indruk een standaard beveiligingscontrole uit te voeren, maar bij het klikken op de knop "Verifiëren" wordt een verborgen JavaScript-functie geactiveerd. Deze functie kopieert een base64-gecodeerde PowerShell-opdracht naar het klembord van de gebruiker zonder diens medeweten.

Vervolgens worden gebruikers geïnstrueerd om handmatige stappen te volgen, zoals het openen van het dialoogvenster Uitvoeren (Win+R) en het plakken van de gekopieerde opdracht. Door deze stappen wordt de PowerShell-opdracht uitgevoerd in een verborgen venster, wat detectie door het slachtoffer bijna onmogelijk maakt.

De PowerShell-opdracht maakt verbinding met een externe server en downloadt aanvullende content, zoals een tekstbestand genaamd 'a.txt' met instructies om de Lumma Stealer-malware te downloaden en uit te voeren. Zodra de malware actief is, maakt deze verbinding met door de aanvaller gecontroleerde domeinen, wat leidt tot diefstal van gevoelige gegevens en verdere compromittering van het systeem.

Beschermingsmaatregelen

Om zich te verdedigen tegen dergelijke phishingcampagnes, moeten gebruikers en organisaties de volgende maatregelen nemen:

1. Beveiligingsbewustzijn en educatie

   • Gebruikers moeten worden getraind in het herkennen van phishingtactieken en verdachte CAPTCHA-verificaties.
   • Verdachte instructies die het uitvoeren van systeemopdrachten inhouden, moeten kritisch worden beoordeeld.

2. Endpointbescherming

   • Robuuste endpointbeveiligingsoplossingen moeten worden geïmplementeerd om PowerShell-gebaseerde aanvallen te detecteren en te blokkeren.
   • Gebruik van gedragsanalyse en realtime monitoring helpt ongebruikelijke uitvoeringen van opdrachten te identificeren en te neutraliseren.

3. Netwerkmonitoring

   • Beveiligingsteams moeten netwerkverkeer actief monitoren op verbindingen met onbekende of recent geregistreerde domeinen.
   • Het instellen van geavanceerde detectieregels kan helpen om vroegtijdige waarschuwingen te genereren.

4. Regelmatige software-updates

   • Zorg ervoor dat systemen en software up-to-date blijven met de nieuwste patches om bekende kwetsbaarheden te verhelpen.

Deze phishingcampagne is bijzonder gevaarlijk omdat deze het vertrouwen van gebruikers in veelgebruikte beveiligingsmaatregelen zoals CAPTCHA's uitbuit. Door kwaadaardige activiteiten te verhullen als routinecontroles kunnen aanvallers gebruikers gemakkelijk misleiden tot het uitvoeren van schadelijke opdrachten. De veelzijdigheid van deze techniek maakt het mogelijk om in de toekomst verschillende soorten malware te verspreiden, waardoor het een aanhoudende bedreiging blijft.

Door: Drifter