竊資軟體Lumma Stealer、BitRAT透過冒牌瀏覽器更新網站散布

資安業者eSentire針對竊資軟體Lumma Stealer、BitRAT的攻擊行動提出警告，對方在今年5月，透過冒牌Chrome更新網站散布上述惡意程式，該網站被注入了惡意JavaScript程式碼。

一旦電腦載入上述網頁，就會觸發JavaScript指令碼，將使用者重新導向到另一個網頁。研究人員分析程式碼發現，只有來自前述的冒牌更新網站的使用者，才會被引導至第2個網頁。

接著，駭客藉由chatgpt-app[.]cloud網站，在受害電腦自動下載名為Update.zip的壓縮檔，而該檔案來自Discord的CDN網路。

上述壓縮檔案內包含的指令碼Update.js，攻擊者將其當作惡意程式下載工具，內有多個PowerShell指令碼，用來下載竊資軟體Lumma Stealer、BitRAT，並讓攻擊者能持續在受害電腦活動。

而這些PowerShell指令碼皆偽裝成PNG圖檔，並能繞過反惡意程式碼掃描介面（AMSI），然後利用.NET的反射功能，藉由RegSvcs.exe處理程序動態載入、執行惡意酬載。