LummaC2 Stealer IOCs

Spyware IOC

Новый Infostealer под названием "LummaC2" распространяется под видом нелегальных программ, таких как крэки и кейгены.

LummaC2 Stealer

LummaC2 доступен для покупки в темной паутине с начала этого года, а с марта он распространяется группой угроз под видом кряка. Хотя этот метод распространения вредоносного ПО в основном используется RecordBreaker (Raccoon V2), LummaC2 Stealer также время от времени обнаруживается. Впервые LummaC2 Stealer был обнаружен 3 марта, а дополнительные распространения были подтверждены 12 и 20 числа того же месяца, что указывает на примерную частоту активности - раз в неделю.

Пользователи, ищущие кряк или серийный ключ для определенного популярного программного обеспечения, попадают на вредоносный сайт. После нажатия кнопки "Загрузить" на этом сайте пользователи будут несколько раз перенаправлены, прежде чем попадут на страницу, где распространяется вредоносная программа. Когда пользователи переходят по URL-адресу, указанному на веб-странице, или нажимают кнопку "Загрузить", они загружают вредоносную программу в сжатом формате. Этот процесс может происходить через собственный сервер угрожающего субъекта или такие сервисы, как MediaFire или MEGA.

Первый образец, распространяемый этим способом, загружает сжатый файл под названием "NewSetupV4-Pass-55551.rar", который содержит другой сжатый файл под названием "setup.rar". После распаковки "setup.rar" создает LummaC2, замаскированный под "setupfile.exe".

Основываясь на имени распространяемого файла, команда предполагает, что он был загружен с веб-страницы, изображенной на рисунке ниже. В настоящее время с этой страницы распространяется вредоносная программа Vidar.

На сегодняшний день LummaC2 имеет три различные формы при распространении в виде крэка.

Indicators of Compromise

URLs

  • http://82.118.23.50/c2sock

MD5

  • 3f4533e8364f96b90d7fcb413fc8b57c
  • 4589fa36cb0a7210fe79c9a02966a320
  • 86c8d08a436374893e2280e05aec2f26
  • 9355477f043a6c5c01fcb4cc6a2ea851
  • a4c1335750fa105529f1ddea90b54117
  • bf0b20fd593a5e886afef2cad348b079
  • d2203e004c5b22e2d6a84fcbef36c454
SEC-1275-1
Добавить комментарий