预订威胁:LummaStealer虚假验证码攻击内幕
攻击概述
2025年1月,G DATA分析师发现针对预订网站的复杂攻击活动。攻击者通过伪造的CAPTCHA验证页面分发LummaStealer恶意样本。这款自2022年出现的窃密软件采用MaaS(恶意软件即服务)模式运营。
最初攻击目标为菲律宾巴拉望岛的旅行预订,一周后更新为德国慕尼黑的酒店预订,显示出攻击者的全球化攻击趋势。与以往通过GitHub或Telegram传播不同,这是LummaStealer首次被发现利用预订网站进行传播。
关键发现
- 新型攻击方式:通过虚假验证码提示向预订网站用户投递恶意负载
- 全球攻击范围:已观察到菲律宾和德国等国家的受害者
- 感染链特征:诱导用户通过Windows运行命令执行PowerShell指令
- 样本体积异常:本次攻击样本达9MB,比其他版本大350%,伪装成合法安装程序
感染链分析
阶段1:伪造预订确认链接与虚假验证码
攻击始于受害者访问伪造的预订确认链接(如:hxxps://payment-confirmation.82736[.]store/pgg46),该链接重定向至包含booking.com模糊文档的钓鱼页面。页面要求用户完成"我不是机器人"验证,实际会诱导用户执行恶意命令。
阶段2:混淆的PHP脚本
页面加载的JS脚本会从远程URL获取经过ROT13加密的PHP脚本。解密后显示该脚本会将Base64编码的PowerShell命令复制到受害者剪贴板。
阶段3:负载下载机制
Base64解码后的命令会在Windows运行服务中执行PowerShell脚本,从攻击者服务器下载并执行最终负载。
阶段4:LummaStealer负载
收集到的样本均采用二进制填充技术(文件大小3MB-9MB),并运用间接控制流混淆技术。分析发现样本使用调度程序块动态计算运行时目标地址,增加分析难度。
攻击关联分析
同一主机服务器还托管了多个仿冒booking.com的钓鱼网站,用于窃取PayPal凭证。通过VirusTotal关联分析发现多个子域名采用相同攻击手法。
结论
LummaStealer正在快速演变,其攻击方式与臭名昭著的Emotet银行木马相似。攻击者采用新型ClickFix社会工程技术,预计未来数月将持续活跃。安全社区将保持警惕,持续跟踪分析此类威胁。
威胁指标(IoC)
URL
- hxxps://payment-confirmation.82736[.]store/pgg46
- hxxps://booking[.]procedeed-verific[.]com/goo_pdf
LummaStealer样本SHA256
- 7b3bd767ff532b3593e28085940646f145b9f32f2ae97dfa7cdd652a6494257d
- 8bfdffcee5951982691af1678f899b39b851b6fd3167d3354c62385fb9b7eac02
- 0419a1942af24e21f988249db2c1748509471cca6b5b7fe9305eac817c5c4d41
MITRE ATT&CK框架映射
- T1059.003 Windows命令脚本
- T1059.001 PowerShell
- T1105 入口工具传输
- T1115 剪贴板数据收集
- T1027.010 命令混淆
- T1027.001 二进制填充
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
![]( "办公AI智能小助手")
