Sicherheitsforscher von Guardio Labs haben eine ausgeklügelte Malware-Kampagne namens DeceptionAds aufgedeckt, die durch gefälschte CAPTCHA-Abfragen den gefährlichen Lumma-Stealer verbreitet. Die Kampagne zeichnet sich durch innovative Social-Engineering-Taktiken und eine bemerkenswerte Reichweite über legitime Werbenetzwerke aus.
Massive Reichweite durch kompromittierte Werbeanzeigen
Die mutmaßlich von der Gruppe Vane Viper orchestrierte Kampagne nutzt das Werbenetzwerk Monetag für die Distribution ihrer schädlichen Werbung. Täglich werden über eine Million Anzeigen auf etwa 3.000 verschiedenen Websites geschaltet, wobei besonders Nutzer von illegalen Streaming-Plattformen und Software-Downloadportalen ins Visier genommen werden.
Sophistizierte technische Implementierung zur Umgehung von Sicherheitssystemen
Die Cyberkriminellen setzen den legitimen Tracking-Dienst BeMob ein, um Erkennungsmechanismen zu umgehen. Durch die Ausnutzung der Reputation von BeMob können die Angreifer die Content-Moderation von Monetag überlisten, indem sie verschleierte URLs anstelle direkter Links zu schädlichen Ressourcen verwenden.
Infektionskette und Funktionsumfang der Malware
Der Infektionsprozess beginnt mit einem Klick auf eine manipulierte Werbeanzeige. Nutzer werden auf eine Seite mit einer gefälschten CAPTCHA-Abfrage geleitet, die versteckten JavaScript-Code enthält. Dieser Code kopiert automatisch einen schädlichen PowerShell-Befehl in die Zwischenablage. Durch Social Engineering werden die Opfer zur Ausführung des Befehls via Windows Run verleitet, was zur Installation des Lumma-Stealers führt.
Umfangreiche Datenexfiltration durch Lumma-Stealer
Der Lumma-Stealer ist darauf spezialisiert, sensible Daten aus gängigen Webbrowsern zu extrahieren, darunter:
– Cookies und Sitzungsdaten
– Zugangsdaten und Passwörter
– Kreditkarteninformationen
– Browsing-Verlauf
Die Malware zielt dabei auf alle populären Browser ab, einschließlich Chrome, Edge, Firefox und andere Chromium-basierte Browser.
Trotz der Sperrung von etwa 200 verdächtigen Accounts durch Monetag zeigt sich die Kampagne äußerst adaptiv. Seit dem 11. Dezember wurden bereits alternative Werbeplattformen für die Verbreitung genutzt. Cybersicherheitsexperten empfehlen erhöhte Wachsamkeit im Umgang mit Werbeanzeigen und warnen ausdrücklich davor, PowerShell-Befehle aus unbekannten Quellen auszuführen. Legitime CAPTCHA-Systeme erfordern niemals die Ausführung von Systembefehlen zur Verifizierung.
