Lumma Stealer IOCs - Part 12

Spyware IOC

Одна из последних тактик, применяемых злоумышленниками с помощью вредоносной программы Lumma Stealer, - использование поддельных CAPTCHA для обмана пользователей и выполнения вредоносных скриптов. Жертвам предлагалось перейти по подозрительной ссылке, после чего они сталкивались с поддельной CAPTCHA, которая требовала выполнить сценарий PowerShell. Этот метод оказался эффективным за счет доверия пользователей к CAPTCHA.

Lumma Stealer

В одной из обнаруженных кампаний злоумышленники использовали взломанный итальянский домен, основанный на устаревшей версии CMS WordPress, для распространения вредоносной программы Lumma Stealer. Анализ исходного кода домена показал наличие вставленного Base64-кодированного JavaScript-скрипта, который генерировал поддельную CAPTCHA только для пользователей Windows.

После выполнения инструкций поддельной CAPTCHA выполнялся сценарий PowerShell, который загружал и исполнял файл с удаленного ресурса. Размер этого сценария составлял 10 МБ, и он был сложно проанализировать в онлайн-песочнице. При ближайшем рассмотрении кода сценария PowerShell, была обнаружена функция fdsjnh, которая преобразовывала список чисел в строку, декодировала строку Base64 и применяла операцию XOR с определенным ключом.

Ключ XOR был связан с переменной $GdFsODSAO и был получен путем переназначения переменных в коде. Без этого ключа невозможно было правильно декодировать содержимое. Для получения ключа было использовано решение с помощью песочницы AnyRun. Полученный XOR-ключ был использован в функции fdsjnh для декодирования содержимого.

С помощью языка программирования Python был разработан код для выполнения декодирования содержимого. Этот код преобразовывал массив байтов в строку, декодировал строку Base64, применял операцию XOR с использованием ключа XOR и возвращал декодированный результат.

Indicators of Compromise

Domains

  • data-seed-prebsc-1-s1.bnbchain.org
  • kev-tolstoi.com
  • klipderiq.shop
  • misha-lomonosov.com
  • solve.bogx.org
  • sputinik-1985.com

URLs

  • https://apporholis.shop/api
  • https://charminammoc.cyou/api
  • https://chipdonkeruz.shop/api
  • https://crowdwarek.shop/api
  • https://data-seed-prebsc-1-s1.bnbchain.org:8545/
  • https://femalsabler.shop/api
  • https://handscreamny.shop/api
  • https://klipderiq.shop/kinko.mp4
  • https://klipderiq.shop/sh
  • https://qu.ax/TyONE.mp4
  • https://robinsharez.shop/api
  • https://solve.bogx.org/awjsx.captcha
  • https://soundtappysk.shop/api
  • https://steamcommunity.com/profiles/76561199724331900
  • https://versersleep.shop/api

MD5

  • 8435c0d486aaad374e46544ed6dfbf23
  • a0f063b82ce5a44aba075f17b9284bab

SHA1

  • e1c46fb92ff3827347c47362511ccb0b1b09f123
  • fb5f96c3b778a77636ac8f080e91e735f5480933

SHA256

  • 0567b98365f8f5e5a3adf508dc7234ea7b50270a8106c3a66a0da96f38058118
  • baa0f226181c0189354592ed8155b1b7081dfc056f3a2beca4ff335c86635734
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий