揭秘LummaStealer恶意软件：虚假验证码如何攻陷预订网站

预订威胁：LummaStealer虚假验证码攻击内幕

攻击概述

2025年1月，G DATA分析师发现针对预订网站的复杂攻击活动。攻击者通过伪造的CAPTCHA验证页面分发LummaStealer恶意样本。这款自2022年出现的窃密软件采用MaaS（恶意软件即服务）模式运营。

最初攻击目标为菲律宾巴拉望岛的旅行预订，一周后更新为德国慕尼黑的酒店预订，显示出攻击者的全球化攻击趋势。与以往通过GitHub或Telegram传播不同，这是LummaStealer首次被发现利用预订网站进行传播。

关键发现

• 新型攻击方式：通过虚假验证码提示向预订网站用户投递恶意负载
• 全球攻击范围：已观察到菲律宾和德国等国家的受害者
• 感染链特征：诱导用户通过Windows运行命令执行PowerShell指令
• 样本体积异常：本次攻击样本达9MB，比其他版本大350%，伪装成合法安装程序

感染链分析

阶段1：伪造预订确认链接与虚假验证码

攻击始于受害者访问伪造的预订确认链接（如：hxxps://payment-confirmation.82736.store/pgg46），该链接重定向至包含booking.com模糊文档的钓鱼页面。页面要求用户完成"我不是机器人"验证，实际会诱导用户执行恶意命令。

阶段2：混淆的PHP脚本

页面加载的JS脚本会从远程URL获取经过ROT13加密的PHP脚本。解密后显示该脚本会将Base64编码的PowerShell命令复制到受害者剪贴板。

阶段3：负载下载机制

Base64解码后的命令会在Windows运行服务中执行PowerShell脚本，从攻击者服务器下载并执行最终负载。

阶段4：LummaStealer负载

收集到的样本均采用二进制填充技术（文件大小3MB-9MB），并运用间接控制流混淆技术。分析发现样本使用调度程序块动态计算运行时目标地址，增加分析难度。

攻击关联分析

同一主机服务器还托管了多个仿冒booking.com的钓鱼网站，用于窃取PayPal凭证。通过VirusTotal关联分析发现多个子域名采用相同攻击手法。

结论

LummaStealer正在快速演变，其攻击方式与臭名昭著的Emotet银行木马相似。攻击者采用新型ClickFix社会工程技术，预计未来数月将持续活跃。安全社区将保持警惕，持续跟踪分析此类威胁。

威胁指标(IoC)

URL

• hxxps://payment-confirmation.82736.store/pgg46
• hxxps://booking.procedeed-verific.com/goo_pdf

LummaStealer样本SHA256

• 7b3bd767ff532b3593e28085940646f145b9f32f2ae97dfa7cdd652a6494257d
• 8bfdffcee5951982691af1678f899b39b851b6fd3167d3354c62385fb9b7eac02
• 0419a1942af24e21f988249db2c1748509471cca6b5b7fe9305eac817c5c4d41

MITRE ATT&CK框架映射

• T1059.003 Windows命令脚本
• T1059.001 PowerShell
• T1105 入口工具传输
• T1115 剪贴板数据收集
• T1027.010 命令混淆
• T1027.001 二进制填充