警惕假冒CrowdStrike域名发布Lumma信息窃取恶意软件

据安全商店的威胁情报团队称，CrowdStrike 是用于诱骗 Windows 用户下载和运行臭名昭著的 Lumma 信息窃取恶意软件的最新诱饵，该团队在 Falcon 传感器更新惨败几天后发现了该骗局。

像 Lumma 这样的信息窃取者会搜索受感染的机器以查找任何存储的敏感信息，例如站点登录详细信息和浏览器历史记录。然后，这些数据被悄悄地泄露给恶意软件的运营商，用于欺诈、盗窃和其他犯罪。

更具体地说，这些被盗信息用于非法访问受害者的在线银行账户和加密货币钱包，以及电子邮件收件箱、远程桌面账户以及其他需要合法登录凭据的应用程序和服务，这使得这种类型的恶意软件在网络骗子中特别受欢迎。

Lumma 是一种相对流行的窃取器，自 2022 年以来在勒索软件团队中的需求量很大。Mandiant表示，这也是犯罪团伙UNC5537用来获取凭据的信息窃取者之一，然后这些凭据随后被用于在今年春天早些时候闯入Snowflake云存储环境。

在 CrowdStrike 活动中，Lumma 构建时间戳“表明演员极有可能在确定 CrowdStrike 的 Falcon 传感器的单一内容更新后的第二天构建了用于分发的样本，”安全商店指出。

域名，crowdstrike-office365[.]com 于 7 月 23 日注册，就在 CrowdStrike 7 月 19 日的错误更新导致 850 万台 Windows 机器崩溃的几天后。据推测，该域名背后的组织与 6 月份早些时候的社会工程攻击有关，该攻击还分发了 Lumma 恶意软件。

在这些早期的信息窃取活动中，不法分子向网络钓鱼电子邮件发送垃圾邮件，然后跟进声称来自 Microsoft Teams 服务台员工的电话。

CrowdStrike 团队报告说：“基于活动之间的共享基础设施和企业网络的明显目标，CrowdStrike Intelligence 以适度的信心评估该活动可能归因于同一未具名的威胁行为者。

虚假的 CrowdStrike 域试图诱骗用户点击并获取一个.zip文件，声称这是一个恢复工具，用于修复由错误的传感器更新引起的启动循环。该存档包含一个 Microsoft 安装程序文件 WidowsSystem-update[.]MSI，它实际上是一个恶意软件加载器。

加载器被标记执行后，它会丢弃并运行自解压 RAR 文件 plenrco[.]exe，具有一个名为 SymposiumTaiwan[.] 的 Nullsoft 可编程安装系统 （NSIS） 安装程序。exe文件。该文件包含合法 AutoIt 可执行文件的一些代码片段，该可执行文件经过严重混淆，如果受害者的计算机正在运行防病毒软件，则该可执行文件将终止。

但是，假设海岸是清晰的，并且恶意软件可以在未被发现的情况下继续存在，则AutoIt加载程序会运行两个shellcode之一，具体取决于它是32位还是64位系统，并最终部署Lumma恶意软件。

就在 CrowdStrike 狡猾的传感器更新使 Windows 机器陷入蓝屏漩涡几个小时后，有报道称诈骗电子邮件利用停电作为诱饵，并声称来自 CrowdStrike 支持或 CrowdStrike Security。该安全公司声称，97%的受影响系统现在已重新上线。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/