Новый Infostealer под названием "LummaC2" распространяется под видом нелегальных программ, таких как крэки и кейгены.
LummaC2 Stealer
LummaC2 доступен для покупки в темной паутине с начала этого года, а с марта он распространяется группой угроз под видом кряка. Хотя этот метод распространения вредоносного ПО в основном используется RecordBreaker (Raccoon V2), LummaC2 Stealer также время от времени обнаруживается. Впервые LummaC2 Stealer был обнаружен 3 марта, а дополнительные распространения были подтверждены 12 и 20 числа того же месяца, что указывает на примерную частоту активности - раз в неделю.
Пользователи, ищущие кряк или серийный ключ для определенного популярного программного обеспечения, попадают на вредоносный сайт. После нажатия кнопки "Загрузить" на этом сайте пользователи будут несколько раз перенаправлены, прежде чем попадут на страницу, где распространяется вредоносная программа. Когда пользователи переходят по URL-адресу, указанному на веб-странице, или нажимают кнопку "Загрузить", они загружают вредоносную программу в сжатом формате. Этот процесс может происходить через собственный сервер угрожающего субъекта или такие сервисы, как MediaFire или MEGA.
Первый образец, распространяемый этим способом, загружает сжатый файл под названием "NewSetupV4-Pass-55551.rar", который содержит другой сжатый файл под названием "setup.rar". После распаковки "setup.rar" создает LummaC2, замаскированный под "setupfile.exe".
Основываясь на имени распространяемого файла, команда предполагает, что он был загружен с веб-страницы, изображенной на рисунке ниже. В настоящее время с этой страницы распространяется вредоносная программа Vidar.
На сегодняшний день LummaC2 имеет три различные формы при распространении в виде крэка.
Indicators of Compromise
URLs
- http://82.118.23.50/c2sock
MD5
- 3f4533e8364f96b90d7fcb413fc8b57c
- 4589fa36cb0a7210fe79c9a02966a320
- 86c8d08a436374893e2280e05aec2f26
- 9355477f043a6c5c01fcb4cc6a2ea851
- a4c1335750fa105529f1ddea90b54117
- bf0b20fd593a5e886afef2cad348b079
- d2203e004c5b22e2d6a84fcbef36c454