Наблюдается всплеск заражений LummaStealer, вызванный кампаниями социальной инженерии, использующими технику ClickFix для доставки вредоносного ПО CastleLoader.
LummaStealer, также известный как LummaC2, представляет собой операцию по краже информации, работающую как платформа «вредоносное ПО как услуга» (MaaS). В мае 2025 года она была пресечена, когда несколько технологических компаний и правоохранительные органы изъяли 2300 доменов и центральную командную структуру, поддерживающую вредоносный сервис.
Вредоносное ПО для кражи информации нацелено на различные конфиденциальные данные, которые могут варьироваться от учетных данных и файлов cookie, хранящихся в веб-браузерах, данных криптовалютных кошельков и документов до сессионных файлов cookie, токенов аутентификации, конфигураций VPN и данных учетных записей.
Хотя операция правоохранительных органов серьезно нарушила деятельность LummaStealer, операция MaaS начала возобновляться в июле 2025 года.
Новый отчет кибербезопасной компании Bitdefender предупреждает, что деятельность LummaStealer значительно активизировалась в период с декабря 2025 по январь 2026 года. Теперь вредоносное ПО доставляется через загрузчик вредоносного ПО под названием CastleLoader, и все чаще используются методы ClickFix.
“В основе многих из этих кампаний лежит CastleLoader, который играет центральную роль в распространении LummaStealer через цепочки доставки. Его модульная модель выполнения в памяти, обширное обфускация и гибкая связь с командно-контрольной инфраструктурой хорошо подходят для распространения вредоносного ПО такого масштаба”, — сообщают исследователи Bitdefender.
CastleLoader появился в начале 2025 года и распространял несколько семейств инфостилеров и троянов удаленного доступа (Stealc, RedLine, Rhadamanthys, MonsterV2, CastleRAT, SectopRAT, NetSupport RAT, WarmCookie) различными методами, включая ClickFix.
Загрузчик вредоносного ПО представляет собой сильно обфусцированный скриптовый (AutoIT или Python) загрузчик, который расшифровывает, загружает и выполняет полезную нагрузку LummaStealer полностью в памяти.
Он использует несколько уровней обфускации, включая переименование переменных и функций на основе словаря, строки, декодируемые во время выполнения, большое количество мусорного кода и мертвых ветвей, а также арифметические и логические операции, которые приводят к тривиальным результатам.
Перед выполнением LummaStealer, CastleLoader выполняет проверки среды и песочницы, чтобы определить, анализируется ли он, и корректирует пути к файлам и места размещения для обеспечения постоянства в зависимости от обнаруженных на хосте продуктов безопасности.
Постоянство достигается путем копирования вредоносного скрипта AutoIT в путь для обеспечения постоянства, копирования интерпретатора в отдельное место и создания файла интернет-ярлыка в папке Startup, который запускает интерпретатор со скриптом в качестве аргумента.
Bitdefender обнаружил, что CastleLoader намеренно инициирует неудачный DNS-запрос к несуществующему домену, что приводит к сбою DNS. Компания по кибербезопасности утверждает, что артефакты такого сетевого поведения могут быть использованы для обнаружения активности CastleLoader.
В отчете за ноябрь исследователи из Insikt Group компании Recorded Future отметили, что домен в инфраструктуре CastleLoader действовал как командно-контрольный (C2) сервер для LummaStealer, что указывает на раннюю связь между двумя операциями.
В настоящее время LummaStealer распространяется через различные каналы, включая установщики троянизированного ПО, пиратское ПО, загруженное с поддельных сайтов или торрентов, а также поддельные медиа- или игровые архивы в кампаниях, нацеленных на страны по всему миру.
По словам исследователей, ClickFix является «высокоэффективным вектором заражения в кампаниях LummaStealer». Пользователям показываются поддельные страницы CAPTCHA или верификации с подробными инструкциями по выполнению вредоносной команды PowerShell, которая уже была добавлена в буфер обмена.
Команда в конечном итоге извлекает вредоносный скрипт с сервера злоумышленника и выполняет его на локальной машине. Полезная нагрузка, доставленная таким образом, — это CastleLoader, который в некоторых случаях загружал и выполнял вредоносное ПО LummaStealer для кражи информации.
Для защиты от этой угрозы исследователи Bitdefender рекомендуют пользователям избегать загрузки и выполнения программного обеспечения или медиафайлов (особенно если файл имеет расширение .EXE) из ненадежных или неофициальных источников.
Кроме того, выполнение непонятных команд в PowerShell или утилитах командной строки в рамках процесса верификации веб-сайта является тревожным сигналом о вредоносной активности.
Общий совет — держаться подальше от пиратского ПО (например, кряков, “разблокированных” инструментов) и скрывать рекламные результаты в Google Поиске с помощью блокировщика рекламы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
