警惕假冒CrowdStrike域名发布Lumma信息窃取恶意软件
据安全商店的威胁情报团队称,CrowdStrike 是用于诱骗 Windows 用户下载和运行臭名昭著的 Lumma 信息窃取恶意软件的最新诱饵,该团队在 Falcon 传感器更新惨败几天后发现了该骗局。
像 Lumma 这样的信息窃取者会搜索受感染的机器以查找任何存储的敏感信息,例如站点登录详细信息和浏览器历史记录。然后,这些数据被悄悄地泄露给恶意软件的运营商,用于欺诈、盗窃和其他犯罪。
更具体地说,这些被盗信息用于非法访问受害者的在线银行账户和加密货币钱包,以及电子邮件收件箱、远程桌面账户以及其他需要合法登录凭据的应用程序和服务,这使得这种类型的恶意软件在网络骗子中特别受欢迎。
Lumma 是一种相对流行的窃取器,自 2022 年以来在勒索软件团队中的需求量很大。Mandiant表示,这也是犯罪团伙UNC5537用来获取凭据的信息窃取者之一,然后这些凭据随后被用于在今年春天早些时候闯入Snowflake云存储环境。
在 CrowdStrike 活动中,Lumma 构建时间戳“表明演员极有可能在确定 CrowdStrike 的 Falcon 传感器的单一内容更新后的第二天构建了用于分发的样本,”安全商店指出。
域名,crowdstrike-office365[.]com 于 7 月 23 日注册,就在 CrowdStrike 7 月 19 日的错误更新导致 850 万台 Windows 机器崩溃的几天后。据推测,该域名背后的组织与 6 月份早些时候的社会工程攻击有关,该攻击还分发了 Lumma 恶意软件。
在这些早期的信息窃取活动中,不法分子向网络钓鱼电子邮件发送垃圾邮件,然后跟进声称来自 Microsoft Teams 服务台员工的电话。
CrowdStrike 团队报告说:“基于活动之间的共享基础设施和企业网络的明显目标,CrowdStrike Intelligence 以适度的信心评估该活动可能归因于同一未具名的威胁行为者。
虚假的 CrowdStrike 域试图诱骗用户点击并获取一个.zip文件,声称这是一个恢复工具,用于修复由错误的传感器更新引起的启动循环。该存档包含一个 Microsoft 安装程序文件 WidowsSystem-update[.]MSI,它实际上是一个恶意软件加载器。
加载器被标记执行后,它会丢弃并运行自解压 RAR 文件 plenrco[.]exe,具有一个名为 SymposiumTaiwan[.] 的 Nullsoft 可编程安装系统 (NSIS) 安装程序。exe文件。该文件包含合法 AutoIt 可执行文件的一些代码片段,该可执行文件经过严重混淆,如果受害者的计算机正在运行防病毒软件,则该可执行文件将终止。
但是,假设海岸是清晰的,并且恶意软件可以在未被发现的情况下继续存在,则AutoIt加载程序会运行两个shellcode之一,具体取决于它是32位还是64位系统,并最终部署Lumma恶意软件。
就在 CrowdStrike 狡猾的传感器更新使 Windows 机器陷入蓝屏漩涡几个小时后,有报道称诈骗电子邮件利用停电作为诱饵,并声称来自 CrowdStrike 支持或 CrowdStrike Security。该安全公司声称,97%的受影响系统现在已重新上线。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 1 继续深耕中国 共创共享机遇 7992260
- 2 接连发生大地震是地球被激活了吗 7937402
- 3 中国救援队救出缅甸被埋60小时幼童 7888794
- 4 民营企业如何向“新”而行 7701339
- 5 成龙洪金宝“御用反派”去世 7673495
- 6 山东男童失联3天后确认身亡 7501072
- 7 特朗普接连对伊朗俄罗斯放狠话 7454629
- 8 吴彦祖发文谴责同机乘客光脚踩座椅 7310745
- 9 第四代住宅来了 7203613
- 10 持股近10年 美的彻底清仓了小米 7104580