Разведка CrowdStrike обнаружила фишинговый домен, который выдает себя за CrowdStrike и доставляет вредоносные ZIP- и RAR-файлы, которые в конечном итоге запускают Lumma Stealer, упакованный в CypherIt.
Lumma Stealer
Кампания, вероятно, связана с кампанией по распространению Lumma Stealer в июне 2024 года, в ходе которой злоумышленник использовал передовые методы социальной инженерии, такие как рассылка спама и голосовой фишинг (вишинг), для доставки вредоносных двоичных файлов.
Загрузчик MSI отображает установку-приманку, а после ее выполнения извлекает и исполняет самораспаковывающийся RAR-файл (SFX) plenrco.exe с командной строкой plenrco.exe -pqwerty2023 -s1. При этом извлекается другой архивный файл RAR SFX, хранящийся в PE-оверлее plenrco.exe. Архив RAR содержит программу установки Nullsoft Scriptable Install System (NSIS) с именем SymposiumTaiwan.exe. Программа установки NSIS содержит фрагменты легитимного исполняемого файла AutoIt и скомпилированный сценарий AutoIt. NSIS также содержит загрузчик пакетных сценариев под названием Open.cmd, который содержит бесполезный код, скрывающий реальную функциональность. Конечная полезная нагрузка зашифрована в RC4 и сжата в LZNT1, в результате чего получается образец Lumma Stealer.
Декомпилированный AutoIt-скрипт представляет собой загрузчик CypherIt, который сильно обфусцирован, чтобы затруднить статический анализ. Загрузчик реализует обфускацию строк и завершает работу при выполнении определенных проверок, таких как определенные имена хостов или запущенные антивирусные процессы. Загрузчик AutoIt содержит два шеллкода для 32- и 64-битных систем, реализующих алгоритм RC4 для расшифровки конечной полезной нагрузки, которая также жестко закодирована в загрузчике AutoIt. Конечная полезная нагрузка представляет собой исполняемый файл Lumma Stealer, который связывается с командно-контрольным (C2) сервером, включенным в IOCs на момент анализа. Кроме того, тот же домен C2, выявленный в ходе этой активности, был замечен в недавней широкомасштабной оппортунистической спам-рассылке и кампании голосового фишинга (vishing) в июне 2024 года. Основываясь на общей инфраструктуре этих кампаний и очевидной направленности на корпоративные сети, CrowdStrike Intelligence с умеренной уверенностью считает, что эта активность, скорее всего, связана с одним и тем же неназванным злоумышленником.
Indicators of Compromise
Domains
- callosallsaospz.shop
- crowdstrike-office365.com
- iiaiyitre.pa
- indexterityszcoxp.shop
- lariatedzugspd.shop
- liernessfornicsa.shop
- outpointsozp.shop
- shepherdlyopzc.shop
- unseaffarignsk.shop
- upknittsoappz.shop
- warrantelespsz.shop
URLs
- https://crowdstrike-office365.com/go.microsoft.crowdstrike-office365.com/download.html
SHA256
- 1e06ef09d9e487fd54dbb70784898bff5c3ee25d87f468c9c5d0dfb8948fb45c
- 280900902df7bb855b27614884b369e5e0da25ff22efacc59443a4f593ccd145
- 2856b7d3948dfb5231056e52437257757839880732849c2e2a35de3103c64768
- 3ed535bbcd9d4980ec8bc60cd64804e9c9617b7d88723d3b05e6ad35821c3fe7
- 50f9c384443a40d15a6e74960f1ba75dcf741eabdb5713bd2eba453a6aad81e5
- 56f2aedb86d26da157b178203cec09faff26e659f6f2be916597c9dd4825d69f
- 6217436a326d1abcd78a838d60ab5de1fee8a62cda9f0d49116f9c36dc29d6fa
- 66ad1c04ebb970f2494f2f30b45d6a83c2f3a2bb663565899f57bb5422851518
- 6ec39c6eee15805ef3098af7ae172517a279b042fc6c323ebf1aef8f8f2b21be
- 922b1f00115dfac831078bb5e5571640e95dbd0d6d4022186e5aa4165082c6b2
- a992cee863a4668698af92b4f9bd427d7a827996bf09824b89beff21578b49bd
- aca54f9f5398342566e02470854aff48c53659be0c0cb83d3ce1fd05430375f8
- b5c0610bc01cfc3dafc9c976cb00fe7240430f0d03ec5e112a0b3f153f93b49a
- bb7a19963b422ed31b0b942eeaad7388421bc270a8513337f8ec043a84a4f11c
- c1e27b2e7db4fba9f011317ff86b0d638fe720b945e933b286bb3cf6cdb60b6f
- c3e50ca693f88678d1a6e05c870f605d18ad2ce5cfec6064b7b2fe81716d40b0
- d669078a7cdcf71fb3f2c077d43f7f9c9fdbdb9af6f4d454d23a718c6286302a
- e6b00ee585b008f110829df68c01a62d3bfac1ffe7d65298c8a4e4109b8a7319
- e9cd2429628e3955dd1f7c714fbaa3e3b85bfaac0bc31582cf9c5232cb8fc352