Bảo Mật Windows trước Lumma Stealer và Cách Phòng Chống

08/03/2025
2 mins read





1. Phương pháp phân phối:

  • Google Meet giả mạo: Các tác nhân đe dọa sử dụng các cuộc gọi Google Meet giả để lừa người dùng nhấp vào các liên kết độc hại. Các liên kết này có thể dẫn đến các trang lừa đảo hoặc tải xuống các tệp độc hại.
  • Các trang cập nhật Windows giả: Người dùng bị chuyển hướng đến các trang cập nhật Windows giả, yêu cầu họ tải xuống và chạy phần mềm độc hại. Điều này có thể bao gồm các kịch bản PowerShell tải và thực thi payload của Lumma Stealer.

2. Chuỗi nhiễm bệnh:

  • Chuỗi nhiễm bệnh thường bắt đầu bằng một email lừa đảo hoặc một trang web bị chiếm đoạt chứa mã JavaScript độc hại. Mã này có thể tải các script bổ sung từ máy chủ Command-and-Control (C2), thực hiện các kiểm tra để xác định xem môi trường có an toàn hay đang bị phân tích.
  • Khi người dùng tương tác với trang cập nhật giả, một tệp JavaScript được tải xuống hệ thống. Tệp JavaScript này sử dụng các yêu cầu HTTP POST để giao tiếp với máy chủ C2, mà phản hồi bằng một kịch bản để thu thập thông tin hệ thống và có thể thực thi thêm các lệnh hoặc tải xuống các thực thi khác.

3. Payload của Lumma Stealer:

  • Payload của Lumma Stealer được thiết kế để đánh cắp thông tin nhạy cảm như mật khẩu trình duyệt, ví tiền điện tử, cookie phiên và các dữ liệu nhạy cảm khác. Nó sử dụng các kỹ thuật làm mờ tiên tiến và phương pháp chống phân tích để tránh bị phát hiện bởi phần mềm diệt virus.
  • Phần mềm độc hại được phân phối qua nhiều vector, bao gồm email lừa đảo, quảng cáo độc hại, bộ công cụ khai thác và video YouTube bị chiếm đoạt. Gần đây, nó cũng đã được phân phối qua các trang CAPTCHA giả, lừa người dùng chạy các script PowerShell.

4. Kỹ thuật tránh bị phát hiện:

  • Để tránh bị phát hiện, phần mềm độc hại sử dụng các kỹ thuật như khoan quy trình, tiêm mã độc vào các ứng dụng hợp pháp, và vô hiệu hóa phần mềm bảo mật bằng cách xác định và giết các quy trình diệt virus.
  • Sử dụng PowerShell v1.0, phiên bản cũ thường không nằm trong tầm giám sát bảo mật hiện đại, là một kỹ thuật tránh bị phát hiện khác mà các kẻ tấn công sử dụng.

5. Chiến lược giảm thiểu:

  • Để chống lại các mối đe dọa như vậy, các tổ chức nên giám sát các Chỉ số của sự Thỏa hiệp (IoCs) trong môi trường của họ, đảm bảo môi trường Windows đã được vá lỗi và bảo vệ bằng xác thực nhiều yếu tố, và tiến hành các đánh giá mối đe dọa toàn diện để phát hiện các điểm mù.
  • Giáo dục nhân viên về việc xác định các tài nguyên PDF đáng ngờ và tránh tương tác với CAPTCHA là rất quan trọng. Hạn chế việc thực thi PowerShell chỉ đối với các script có chữ ký và giám sát việc sử dụng phiên bản cũ cũng có thể giúp giảm thiểu rủi ro.

Bài viết nêu bật sự tinh vi của phần mềm độc hại Lumma Stealer và nhu cầu về các biện pháp bảo mật mạnh mẽ để chống lại các mối đe dọa như vậy.


Tags