Hanem valami egész más célja van. Egy nagyszabású rosszindulatú reklámkampány ugyanis hamis CAPTCHA ellenőrző oldalakon keresztül terjeszti a Lumma Stealer kártékony adatlopó programot. A módszer újnak mondható, és kimaxolja a naiv felhasználók megtévesztését és aktív bevonását a fertőzési folyamatba.

Nyitásként érdemes feleleveníteni, hogy a klasszikus kérdésre, miszerint hogyan különböztessük meg a gép automata botokat a hús-vér felhasználóktól már jó sok éve használják a Captcha kódokat (Completely Automated Public Turing test to tell Computers and Humans Apart), és eredetileg Turing ötletén alapult.

Van ebből már rengeteg féle, a sima hullámzó betűk és számok begépelésétől kezdve ábrák tologatva helyreforgatásán át a tűzcsapok, biciklik, hidak és állatok felismeréséig.

Kutatók nemrég egy olyan tömeges rosszindulatú kampányt észleltek, amelyben a Monetag hirdetési hálózatát kihasználva több mint napi egymillió hirdetésmegjelenítést terjesztettek háromezer webhelyen.

A felugró hirdetések hamis ajánlatokat, kalóz streaming letöltéseket vagy egyéb szolgáltatásokat hirdetnek, amelyek általában vonzóak lehetnek az átlag felhasználók számára.

Az alkalmazott trükk lényege, hogy arra kérik a felhasználókat, hogy futtassák le a mellékelt PowerShell-parancsot annak igazolására, hogy ők valódi emberek, és nem egy automata botról van szó.

Ami persze nem azt dönti el, hogy gépek vagyunk-e vagy sem, hanem hogy mennyire vagyunk megtéveszthetőek. A bemásolt és lefuttatott szkript ugyanis megfertőzi a rendszerünket, és éppen a mi aktív közreműködésünkkel.

Kicsit hasonlít a régi albán vírushoz, ami inkább vicc volt, mint komoly: "Helló! Én egy albán vírus vagyok, de mivel hazámban meglehetősen fejletlen a technológia, nem vagyok elég ügyes ahhoz, hogy kárt tegyek a számítógépedben. Ezért hát kérlek: légy szíves, néhány fontos fájlt törölj a gépedről, utána pedig továbbíts más felhasználóknak. Nagyon nagy köszönet az együttműködésért!"

Szóval ismeretlen szkriptek futtatgatása előtt inkább gondolkozzunk, a védekezés-megelőzés terén ehhez pluszban felidézhetjük a Hackersuli örök érvényű jótanácsát is "Ne légy hülye!".

És egyáltalán egészséges gyanakvással, biztonságtudatos óvatos hozzáállással álljunk minden hasonló helyzethez.

Emlékezzünk csak a három évvel ezelőtti FedEx-es csomagküldős SMS csalásra, ahol egy szabad szemmel is jól láthatóan gyanús kinézetű linkre emberek tömegesen kattintottak, telepítettek ismeretlen forrásból származó kártékony appot, majd még jól megadtak neki minden lehetséges alkalmazás engedélyt is, és végül csodálkoztak, hogy nincs szerencséjük, ha óvatlanok voltak és nem használtak vírusvédelmet.

Visszatérve a mostani konkrét esetünkre, egy Javascript kód észrevétlenül a felhasználó vágólapjára másol egy olyan kártékony hivatkozást, amely letölti a Lumma Stealer programot egy távoli szerverről, és végrehajtja azt az áldozat eszközén. Ez a fejlett adatlopó rosszindulatú alkalmazás igazi svájci bicskája a bűnözőknek: cookie-kat, hitelesítő adatokat, jelszavakat, hitelkártyákat és böngészési előzményeket képes ellopni Google Chrome, Microsoft Edge, Mozilla Firefox és más Chromium alapú böngészőkből.

Emellett kriptovaluta tárcákat, privát kulcsokat is ellophat, és kifejezetten vadászik olyan helyi szöveges állományokra, amelyek valószínűsíthetően bizalmas információkat tartalmazhatnak, például pass.txt, bitcoin.txt, wallet.txt, stb.