电竞盛会暗藏危险:信息窃取恶意软件Lumma Stealer借LoL赛事肆虐
2024-9-30 17:54:17 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

安全研究员近期发现,在热门游戏英雄联盟(LoL)的全球总决赛举办期间,一些黑客也在利用赛事热潮,大肆传播信息窃取恶意软件Lumma Stealer。
据了解,攻击者会利用社交媒体平台投放精心设计的广告,诱导玩家点击虚假的LoL游戏下载链接。广告链接指向的下载页面伪装成官方网站,以迷惑缺乏安全意识的用户。一旦缺乏警惕心的用户点击下载,就可能会感染Lumma Stealer恶意软件。
值得注意的是,该恶意软件不仅会窃取用户的账户密码、信用卡信息、加密货币钱包等敏感信息,还会窃取浏览器会话cookie、以及诸如AnyDesk、KeePass等软件的登录信息,甚至可以利用窃取的信息进一步劫持受害者的社交媒体账户,进行更广泛的诈骗和恶意活动。这不仅仅是简单的信息泄露,而是可能导致连锁反应的严重安全事件,从而对受害者造成巨大的经济损失和名誉损害。此次恶意事件已造成超过4000名用户受损,受害者大多是男性成年人,这与LoL玩家的典型用户画像高度吻合,也体现了攻击者精准投放广告的能力。
Lumma Stealer并非一个新面孔,最早可追溯到2022年8月,它以“恶意软件即服务”(MaaS)的形式在俄语论坛上出现,由网络罪犯“Shamel”(化名“Lumma”)开发。起初,它主要针对加密货币钱包和双因素身份验证(2FA)浏览器扩展程序,窃取用户的登录凭证、cookie、自动填充数据以及浏览器扩展程序数据等敏感信息。这些信息通过HTTP POST请求发送到C2服务器,其用户代理伪装成“TeslaBrowser/5.5”,以期躲避安全软件的侦测。  
同时,Lumma Stealer并非一成不变,它不断更新迭代,功能越来越强大,攻击手段也越来越隐蔽。例如,Fortinet的研究表明,Lumma Stealer的变种曾通过YouTube上的虚假破解软件传播,利用GitHub和MediaFire等开源平台来躲避简单的网络过滤器黑名单,最终通过一个.NET加载程序下载并执行最终的恶意程序。此外,CrowdStrike的研究人员发现,Lumma Stealer曾被包装在CypherIt中,并通过伪装成CrowdStrike Falcon传感器更新的钓鱼邮件传播。Trend Micro的研究则揭示了Lumma Stealer利用Discord CDN分发恶意软件的案例,通过伪装成游戏邀请或求助信息诱骗受害者下载执行恶意程序。
上述案例清晰地表明,Lumma Stealer的攻击向量灵活多变,适应性极强,使其成为一种难以捉摸的威胁。另外最值得注意的是,Lumma Stealer躲避检测的最新进展。——该恶意软件通过监测鼠标移动轨迹,利用三角函数计算鼠标移动的角度和向量大小,从而判断系统是否为虚拟环境(反沙箱技术)。如果检测到非人类行为(例如,在沙盒环境中模拟的鼠标移动),则停止恶意行为,直到检测到更接近人类行为的鼠标移动才恢复恶意活动。这种技术在一定程度上提高了其在虚拟机和沙箱环境中的生存能力,增加了安全分析的难度。
研究报告指出,信息窃取恶意软件因其易于获取、成本低廉且效果显著而受到攻击者的青睐,已经成为勒索软件和其他高价值数据泄露事件的主要载体之一。安全研究员强调了多因素认证、定期更改密码、实施网络访问控制等基本安全措施的重要性,并提醒即使是大型组织也可能因为忽视这些基础安全措施而遭受攻击。
编辑:左右里

资讯来源:bitdefender

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458577788&idx=3&sn=3fe2852e866606b737de315ed6f1e95e&chksm=b18ddbf686fa52e03adff5efe3146449b4a065cb01d5149975ac320b260894fa3abf60f921f0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh