LummaStealer恶意软件滥用Windows工具执行伪装为.mp4文件的远程代码

LummaStealer 是一种以恶意软件即服务 （MaaS） 形式分发的复杂信息窃取恶意软件，它已经发展为滥用合法 Windows 实用程序的新规避技术。

LummaStealer MaaS

该恶意软件最初于 2022 年被发现并由讲俄语的对手开发，在针对各种 Windows 系统的同时，在逃避检测方面表现出非凡的敏捷性。

它的主要功能是收集敏感数据，包括凭据、cookie、加密货币钱包和其他个人身份信息。

LummaStealer 背后的威胁行为者采用各种社会工程策略来启动感染，网络钓鱼电子邮件是最普遍的传递方式。

这些电子邮件通常包含恶意链接，可将用户引导至虚假的 CAPTCHA 页面。一旦用户与这些页面交互，他们就会被社会工程设计，将恶意脚本复制并粘贴到 Windows Run 对话框中，从而在后台静默触发第一阶段有效负载的部署。

Cybereason 安全研究人员发现了一种新的、令人担忧的感染媒介，其中 LummaStealer 滥用合法的 mshta.exe Windows 实用程序来执行伪装成.mp4多媒体文件的远程托管代码。

这种技术在 MITRE ATT&CK 框架下被归类为 T1218.005，允许攻击者绕过应用程序控制解决方案和浏览器安全设置，因为执行发生在浏览器的安全上下文之外。

攻击树

在分析感染链后，研究人员发现恶意链接将系统定向到包含似乎是 MP4 文件的特定目录。

但是，此文件实际上包含十六进制和混淆 JavaScript 代码的组合，mshta.exe 进程可以打开和执行这些代码。

当用户打开这个伪装的 MP4 文件时，高度混淆的 JavaScript 代码会启动多阶段感染过程。

Deobfuscation 揭示了复杂的 Payload 结构

LummaStealer 规避技术的核心在于其分层混淆方法。初始 JavaScript 有效负载包含一个名为“Fygo”的变量，其中包含第二阶段 PowerShell 有效负载的最终版本，该有效负载通过“eval”JavaScript 函数执行。

此函数不区分 JavaScript 表达式、变量或语句，允许它以发送者的权限执行传递给它的任何代码。

来自分析样本的关键代码片段显示了反混淆机制：-

eval(Fygo.replace(/(..)./g, function(match, p1) {return String.fromCharCode(parseInt(p1, 16))}))

此代码通过将每对十六进制数字替换为相应的字符来解码存储在 Fygo 变量中的十六进制编码字符串。进一步分析表明，此解码内容包含旨在绕过安全控制的 PowerShell 命令。

执行时，PowerShell 脚本会部署第三个阶段，其中包含针对 AmsiScanBuffer 函数的 AMSI 旁路技术。

该代码在与 clr.dll 关联的内存区域中搜索签名“AmsiScanBuffer”，并用空字节覆盖它，从而有效地禁用 Microsoft 的反恶意软件扫描界面。图 1 说明了从虚假 CAPTCHA 页面到 PowerShell 执行的攻击流程。

解密的最终有效负载包括一个重要的 Base64 编码的 .NET 程序集，其中包含实际的 LummaStealer 恶意软件。

此程序集使用反射技术直接加载到内存中，使其无需将文件写入磁盘即可运行，这种方法通过避免传统的基于文件的安全控制来显著降低检测率。

根据 Cybereason 的研究，LummaStealer 的这种变体很可能是通过恶意软件服务的“专业”或“企业”订阅层分发的，这些订阅层提供非驻留加载程序和增强的规避功能等高级功能。

这突显了网络犯罪生态系统中恶意软件即服务产品的日益复杂。

原文来自: cybersecuritynews.com