Infostealer جدید: CAPTCHA جعلی و تأیید انسانی (بدافزار جدید Lumma). تشخیص، پیشگیری و واکنش به حوادث.

یک تست CAPTCHA فریبنده که بی ضرر به نظر می رسد اما برای فریب کاربران ویندوز برای نصب بدافزار سرقت اطلاعات طراحی شده است.

این هفته، یکی از دوستان من در حین مرور اینترنت با یک تاییدیه انسانی CAPTCHA به ظاهر قانونی مواجه شد. چیزی که به نظر می رسید یک تأیید معمول باشد، در واقع یک مکانیسم پیچیده برای توزیع بدافزار Lumma بود، یک سرقت اطلاعات جدید و خطرناک که داده های حساس را هدف قرار می دهد.

این مقاله به جزئیات فنی نحوه عملکرد بدافزار Lumma، مکانیسم‌های توزیع آن و مراحلی که کاربران می‌توانند برای محافظت از خود بردارند، می‌پردازد.

آناتومی حمله

مرحله 1: CAPTCHA جعلی

این حمله با یک درخواست جعلی CAPTCHA شروع می‌شود که برای فریب کاربران طراحی شده است تا فکر کنند انسانیت خود را تأیید می‌کنند. این تاکتیک مهندسی اجتماعی از اشتراک CAPTCHA ها در سراسر وب استفاده می کند و اطمینان می دهد که این درخواست باعث ایجاد شک نمی شود.

ویژگی های کلیدی CAPTCHA جعلی:

• طراحی بصری: اعلان خدمات CAPTCHA قانونی را با طراحی جلا تقلید می کند.
• رفتار پویا: تعامل با فرمان، بارگیری یک بار مخرب را آغاز می کند.
• قلاب‌های خاص مرورگر: ممکن است درخواست بر اساس مرورگر یا دستگاه کاربر سازگار شود تا سازگاری را به حداکثر برساند.

مرحله 2: تحویل بدافزار

هنگامی که کاربر با CAPTCHA جعلی تعامل برقرار می کند، ناخودآگاه فایلی را دانلود می کند که به عنوان یک برنامه بی ضرر ظاهر می شود. این فایل اغلب به شکل زیر است:

• آرشیو فشرده: فایل های ZIP یا RAR حاوی فایل های اجرایی.
• بسته های نصب کننده: تظاهر به به روز رسانی نرم افزار یا ابزار ضروری.
• جزئیات فنی محموله:
• الگوهای نام فایل: معمولاً از نام‌های عمومی یا فریبنده مانند update_tool.exe یا captcha_check.exe استفاده می‌کند.
• نوع فایل: فایل های اجرایی که به نظر می رسد خوش خیم هستند اما با کد مخرب جاسازی شده اند.

مرحله 3: اجرا و استخراج داده ها

بدافزار Lumma پس از اجرا، عملیات اولیه خود را آغاز می کند: سرقت اطلاعات حساس.

قابلیت های بدافزار Lumma:

برداشت اعتبار:

• اطلاعات ورود به سیستم ذخیره شده در مرورگرها را سرقت می کند.
• مشتریان ایمیل و برنامه های FTP را هدف قرار می دهد.

سرقت ارزهای دیجیتال:

• فعالیت کلیپ بورد را برای آدرس های کیف پول نظارت می کند.
• آدرس های کیف پول را با آدرس های کنترل شده توسط مهاجمان جایگزین می کند.

شناسایی سیستم:

• اطلاعات سیستم از جمله آدرس IP و جزئیات سخت افزار را جمع آوری می کند.

اکسفیلتراسیون:

• داده های دزدیده شده را از طریق کانال های رمزگذاری شده به سرورهای فرمان و کنترل از راه دور (C2) ارسال می کند.

تشخیص و کاهش

چگونه تهدید را شناسایی کنیم

شاخص های رفتاری:

• درخواست های غیرمنتظره CAPTCHA در وب سایت های غیر مرتبط.
• دانلودهای ناآشنا پس از تعامل با عناصر وب شروع می شوند.

تجزیه و تحلیل فایل:

• از ابزارهای آنتی ویروس برای اسکن فایل های دانلود شده استفاده کنید، در این مورد ما از Malwarebytes برای اسکن و شناسایی عوامل تروجان و قرنطینه کردن فایل های آلوده استفاده کردیم.
• رفتار غیرعادی در هنگام اجرای فایل را بررسی کنید، به گفته دوست من، او با یک اختلال غیرمنتظره در اتصال شبکه مواجه شد که باعث شد تا زمانی که دستگاه خود را مجددا راه اندازی نکرده باشد، قادر به اتصال به اینترنت نباشد.

پاسخ حادثه: وقتی بدافزار Lumma را دانلود کردید چه باید کرد؟

اگر مشکوک هستید که به طور ناخواسته بدافزار Lumma را دانلود کرده اید، بسیار مهم است که سریع و روشمند عمل کنید تا تأثیر حمله را به حداقل برسانید.

در اینجا راهنمای گام به گام پیشنهادی من در مورد چگونگی ادامه است:

1. از تمام فایل های مهم در فضای ابری پشتیبان تهیه کنید
اگر بدافزار حاوی باج‌افزار یا سایر محموله‌های مخرب باشد، ممکن است فایل‌های دستگاه محلی شما را هدف قرار داده و رمزگذاری کند.

• فایل‌های مهم مانند اسناد، عکس‌ها و سایر داده‌های حیاتی را در یک سرویس ذخیره‌سازی ابری آپلود کنید. این به شما این امکان را می دهد که در صورت به خطر افتادن فایل های خود بعداً آنها را بازیابی کنید.

2. همه رمزهای عبور در رسانه های اجتماعی و حساب های بانکی را تغییر دهید
از آنجایی که بدافزار Lumma برای جمع‌آوری اعتبارنامه‌های ورود طراحی شده است، تغییر گذرواژه‌های حساب‌های شبکه‌های اجتماعی، بانکی و ایمیل شما بسیار مهم است. به خصوص اگر این پسوردها در مرورگر شما ذخیره شده باشند.

• برای تغییر همه گذرواژه‌های خود از یک دستگاه قابل اعتماد متفاوت (مانند تلفن هوشمند خود با روش MFA پیامک) استفاده کنید و مطمئن شوید که دستگاه فعلی شما (که ممکن است در معرض خطر قرار گرفته باشد) نمی‌تواند این تغییرات را رهگیری کند. در صورت امکان، احراز هویت دو مرحله ای (2FA) را در همه حساب ها فعال کنید تا یک لایه امنیتی اضافی اضافه کنید.

3. آرام و خونسرد بمانید
وحشت می تواند قضاوت شما را مختل کند و منجر به اشتباهات بیشتری شود. رسیدگی به وضعیت با آرامش به شما این امکان را می دهد که اقدامات لازم برای مهار عفونت را دنبال کنید.

• برای جلوگیری از گسترش بیشتر بدافزار، بر جداسازی دستگاه در معرض خطر تمرکز کنید. اگر از فایل‌های محلی مهم خود نسخه پشتیبان تهیه نمی‌کنید، باید دستگاه آلوده را از اینترنت و سایر دستگاه‌هایی که ممکن است به آن متصل باشد، مانند درایوهای هارد دیسک خارجی یا درایوهای فلش (درایوهای USB) جدا کنید.

دستگاه خود را مجدداً فرمت کنید (در صورت لزوم)

اگر بدافزار پایدار بماند و قابل حذف نباشد، ممکن است لازم باشد سیستم خود را پاک کنید و سیستم عامل خود را نصب جدیدی انجام دهید.

در پیشنهادی که به دوستم داشتم، به او توصیه کردم که برای امنیت بیشتر و آرامش خاطر، اجازه دهد لپ تاپش را دوباره فرمت کنم.

• در مرحله اول، در هر رخداد نقض امنیتی، همیشه از فایل‌های ضروری نسخه پشتیبان تهیه کنید (اما از تهیه نسخه پشتیبان از فایل‌هایی که ممکن است آلوده باشند خودداری کنید)، سپس یک بازنشانی کارخانه‌ای انجام دهید یا سیستم عامل را دوباره نصب کنید تا مطمئن شوید که بدافزار کاملاً از بین رفته است.

*چگونه دستگاه خود را دوباره فرمت کنیم؟ *

1. تنظیمات را باز کنید
2. System را انتخاب کنید
3. Recovery را انتخاب کنید
4. Reset this PC را انتخاب کنید
5. برای پاک کردن همه داده ها، حذف همه چیز را انتخاب کنید
6. برای تمیز کردن درایو، Change settings را انتخاب کنید
7. گزینه های Clean data و Download Windows را روشن کنید
8. روی تایید کلیک کنید
9. برای تأیید تنظیم مجدد، روی Reset کلیک کنید
10. دستورالعمل های روی صفحه را دنبال کنید

به یاد داشته باشید که قبل از انجام این کار از تمام فایل های مهم خود نسخه پشتیبان تهیه کنید.

اقدامات پیشگیرانه

آگاهی کاربر:

• هنگام مواجهه با CAPTCHA در خارج از پلتفرم های معروف محتاط باشید.
• از دانلود فایل ها خودداری کنید مگر اینکه منبع آنها کاملاً مشخص باشد.

پادمان های فنی:

• افزونه های مرورگر را برای مسدود کردن اسکریپت های مخرب فعال کنید.
• راه‌حل‌های محافظت از نقطه پایانی را با قابلیت شناسایی دزدهای اطلاعاتی بکار ببرید.

امنیت شبکه:

• ترافیک شبکه را برای الگوهای غیرمعمول نظارت کنید.
• برای مسدود کردن دامنه های مخرب شناخته شده، فیلتر DNS را اجرا کنید.

به روز رسانی های منظم:

• مرورگرها، پلاگین ها و سیستم عامل ها را به روز نگه دارید.

پیشگیری بهتر از درمان است!

جلوگیری از حمله در حالی که هنوز خارج از سیستم/محیط ما است آسان تر است

بدافزار Lumma نشان می‌دهد که چگونه عوامل تهدید از عناصر به ظاهر خوش‌خیم، مانند درخواست‌های CAPTCHA، برای اجرای حملات پیچیده استفاده می‌کنند.

با درک تاکتیک های به کار گرفته شده توسط چنین تهدیداتی، کاربران و سازمان ها می توانند دفاع خود را در برابر آنها تقویت کنند.

همیشه پیشگیری بهتر از درمان است. هوشیاری و تدابیر امنیتی و آمادگی پیشگیرانه می تواند احتمال قربانی شدن در چنین حملاتی را به میزان قابل توجهی کاهش دهد. به‌روزرسانی منظم نرم‌افزار، تمرین عادات مرور ایمن و استفاده از راه‌حل‌های امنیتی جامع برای محافظت از داده‌ها و دستگاه‌های شخصی شما در برابر تهدیدات جدید کلیدی است.

هوشیار باشید و ممکن است این اطلاعات را به اشتراک بگذارید تا به محافظت از دیگران در برابر قربانی شدن در طرح های مشابه کمک کنید.