预订威胁：深入LummaStealer伪造验证码攻击内幕

概述

网络犯罪分子正利用旅行需求增长的机会，通过建立虚假预订网站、钓鱼诈骗和欺诈列表来诱骗毫无戒心的旅行者。

由Arvin Lauren Tan、John Rey Dador和Arvin Jay Bandong进行的分析显示，2025年第一个月，G DATA分析师发现了一个通过复杂攻击预订网站传播的恶意活动。发现一个预订行程页面通过伪造验证码下载LummaStealer样本。

LummaStealer是一种信息窃取器，据信于2022年首次发现，采用恶意软件即服务（MaaS）模式运营。最初行程是前往菲律宾巴拉望，但一周后更新为德国慕尼黑的酒店。这一转变表明LummaStealer威胁出现了新的全球目标趋势。

感染链始于目标受害者访问类似以下URL的网站：hxxps://payment-confirmation.82736[.]store/pgg46

分析期间未能成功提取初始攻击向量，因此推测来源可能是钓鱼邮件。该链接重定向到hxxps://booking[.]procedeed-verific[.]com/goo_pdf，其中包含来自booking.com的模糊文档。

在此网页中，用户在查看预订文档前需要完成验证码验证，要求点击"我不是机器人"复选框。但此验证过程采用了不同的验证步骤：用户需要打开运行窗口并粘贴已复制到剪贴板的命令。

这是ClickFix技术的示例，一种新兴的社会工程技术，通过在对话框中显示虚假错误消息来欺骗用户在自己的系统上执行恶意命令。

查看网页源代码发现有一个JS脚本从另一个URL加载PHP脚本中的命令。包含混淆PHP脚本的URL使用ROT13加密，解密后显示JS脚本将Base64命令复制到受害者剪贴板。

解密unsecuredCopyToClipboard函数中的Base64代码后，显示需要在Windows运行服务中粘贴的命令。这是执行Base64编码的PowerShell脚本的命令，该脚本将从指定URL调用Web请求，下载文件到Temp目录并使用"Start-Process"命令执行。

持续监控下载链接发现LummaStealer负载文件随时间变化。所有收集的样本都比其他版本大350%（从3MB到9MB），表明可能存在更复杂的负载，具有更多功能、规避和加密技术。

样本使用二进制填充技术，恶意软件作者在恶意文件的末尾、开头或数据部分之间添加垃圾数据，导致分析时间延长或触发安全工具的文件大小限制。

逆向工程显示这些样本使用与其他野外发现的LummaStealer样本相同的混淆方法——间接控制流，通过运行时动态计算目标地址来避免直接跳转或调用，使分析更加困难。

71fe618a360c3d077af47ddb17b35de5300c94d3f46fb173a039c01d8ca6b86c

多个样本哈希值和检测名称

LummaStealer在过去几个月中迅速获得关注，已显示使用多种攻击向量并变得越来越普遍。与臭名昭著的Emotet银行木马/勒索软件有一些相似之处。

LummaStealer背后的威胁行为者正在采用ClickFix社会工程技术。我们预计这种特定的窃取恶意软件将在未来几个月继续肆虐。但随着这些恶意软件团体继续寻找传播新威胁的方法，G DATA以及整个信息安全社区将保持警惕，跟踪、分析和保护网络空间。