Инфостилеры как точка входа: похитители данных стали ключевым звеном в современных кибератаках

Основной мишенью инфостилеров становятся учетные данные высокой ценности: cookies веб-браузеров, данные криптовалютных кошельков и учетные записи для VPN и RDP. Похищенная информация активно переиспользуется для различных видов атак, включая кражу личных данных, финансовое мошенничество и корпоративные инсайдерские нарушения.

От независимой угрозы к элементу комплексных атак

Инфекции, вызываемые инфостилерами, рассматриваются как вектор атаки высокого риска, который выполняет несанкционированные действия внутри системы-жертвы. Этот тип вредоносного ПО собирает и передает конфиденциальную информацию без ведома пользователя, что приводит к прямому и косвенному ущербу: нарушению конфиденциальности, финансовым потерям и репутационному урону для организаций.

Атаки на основе инфостилеров обычно проводятся организованными киберпреступными группами, а похищенные данные продаются в даркнете. Впоследствии эти данные используются для различных злонамеренных действий, что представляет серьезную угрозу как для частных лиц, так и для компаний. Помимо функции независимой угрозы, инфостилеры все чаще задействуются на ранних стадиях многовекторных атак, таких как развертывание программ-вымогателей и захват учетных записей.

Рост доступности кибератак через модель MaaS

Значительную роль в распространении инфостилеров играет модель MaaS (Malware-as-a-Service), при которой киберпреступники предоставляют ресурсы для проведения атак в качестве услуги. Провайдеры берут плату за использование сервиса, позволяя третьим сторонам проводить атаки без необходимости самостоятельной разработки или эксплуатации вредоносного ПО.

Lumma считается одним из представительных инфостилеров, распространяемых по модели MaaS. Характеристики такой модели включают доступность для атакующих без навыков программирования, модульность и поддержку кастомизации, монетизацию через подписки или продажу похищенных данных, а также постоянные обновления от разработчиков для уклонения от обнаружения.

MaaS является вариантом модели, эксплуатирующей концепцию SaaS (Software-as-a-Service), и классифицируется как компонент более широкой экосистемы CaaS (Cybercrime-as-a-Service). Такие рынки в основном активны в даркнете или закрытых онлайн-форумах. В экосистеме MaaS операторы часто представляют собой организованные группы с распределенными ролями.

MaaS-операторы обычно предлагают различные типы вредоносного ПО в качестве услуг, которые можно классифицировать на программы-вымогатели, инфостилеры и бэкдоры. Модель MaaS снижает порог входа в киберпреступность и приводит к нескольким последствиям: сокращению сложности атак, расширению их масштабов и увеличению сложности атрибуции угроз.

Анализ случая с инфостилером Lumma

Lumma - это одно из представительных семейств вредоносных программ-похитителей информации, нацеленных на операционную систему Windows. Впервые он был обнаружен в августе 2022 года и с тех пор активно распространяется по всему миру. Lumma Infostealer примечателен тем, что работает по модели MaaS, то есть доступен любому желающему по подписке или единоразовой оплате.

Были идентифицированы случаи распространения Lumma Infostealer, упакованного с помощью Nullsoft Scriptable Install System (NSIS). Файл маскировался под пиратское программное обеспечение и распространялся с фишинговых сайтов. Пакет содержал фрагментированные модули AutoIt и вредоносные скрипты AutoIt. При выполнении он воссоединяет и запускает фрагментированные файлы, загружает зашифрованный шелл-код в память и использует технику Process Hollowing для замены процесса AutoIt на Lumma Infostealer. Затем вредоносное ПО связывается со своим C2-сервером и выполняет кражу информации.

Техники упаковки NSIS, скрипты AutoIt, инъекция шелл-кода и Process Hollowing дополнительно усложняют обнаружение на основе сигнатур и анализ. Кроме того, атакующие улучшают методы распространения и заражения, изменяя URL-адреса сайтов распространения и распространяемые файлы, поэтому защиты, полагающиеся на единичный индикатор, вряд ли будут эффективны. Следовательно, поведенческое обнаружение и реагирование через EDR необходимы.

Процесс распространения и анализ вредоносных файлов

Lumma Infostealer в основном маскируется под пиратское или взломанное программное обеспечение и распространяется через фишинговые сайты. Когда пользователь нажимает на ссылку для скачивания на таком сайте, он перенаправляется на второй сайт; это, по-видимому, предназначено для скрытия связи с исходным сайтом и уклонения от блокировок на основе репутации. Мониторинг также подтвердил, что URL-адрес цели перенаправления периодически меняется. Похоже, атакующий постоянно меняет URL-адреса, чтобы избежать обнаружения и отслеживания.

Финальным хостом для загрузки является облако MEGA. Используя легитимный облачный сервис в качестве инфраструктуры распространения, атакующий, по-видимому, пытается обойти блокировку по IP/домену. Когда файл загружается с сайта, сохраняется зашифрованный ZIP-архив. Используя пароль, включенный в имя файла, для извлечения архива обнаруживается файл 'setup.exe', упакованный с помощью NSIS.

NSIS - это инструмент с открытым исходным кодом для создания установщиков, используемый для распространения программного обеспечения. Он часто используется из-за своего небольшого размера, высокого коэффициента сжатия и скриптового контроля над процессом установки. Однако эти характеристики позволяют атакующим маскировать вредоносное ПО под легитимные программы установки или скрытно сбрасывать и выполнять дополнительные полезные нагрузки в процессе установки.

При выполнении файла 'setup.exe' он сначала сбрасывает встроенный вредоносный файл в каталог '%Temp%'. После завершения сброса файла он запускает файл 'Contribute.docx' через cmd.exe. Файл 'Contribute.docx' содержит фиктивный код и зашифрованные cmd-команды. Финальная cmd-команда воссоединяет сброшенные файлы, чтобы создать и выполнить вредоносный файл AutoIt.

Детали выполнения и анализ Lumma Infostealer

Файл 'Contribute.docx', выполняемый через cmd.exe, сначала проверяет, запущены ли следующие процессы безопасности, с помощью команд 'tasklist' и 'findstr': SophosHealth (решение безопасности Sophos), nsWscSvc (Norton Security), Ekrn (решение безопасности ESET), Bdservicehost (решение безопасности Bitdefender), AvastUI, AVGUI (решение безопасности Avast). Если ни одно из вышеперечисленных решений безопасности не обнаружено, выполняются подготовительные шаги для установки переменных имени исполняемого файла и расширения, которые будут использоваться для запуска вредоносного скрипта AutoIt.

Затем с помощью 'extrac32.exe' извлекается архив CAB, замаскированный под именем файла 'Make.docx'. CAB содержит 11 файлов, которые позже используются для построения программы AutoIt. Затем вредоносное ПО создает папку с именем '565905' и использует команду 'Copy /b /y' для объединения среды выполнения AutoIt и файлов вредоносного скрипта AutoIt. Наконец, Riding.pif (AutoIt3.exe) используется для выполнения файла A (вредоносный скрипт AutoIt).

Файл "A" представляет собой скомпилированный скрипт AutoIt, обфусцированный фиктивным кодом и сегментами, закодированными в ASCII, чтобы затруднить обнаружение и анализ решениями безопасности. После деобфускации строки восстанавливаются, но многочисленные блоки фиктивного кода остаются вставленными, чтобы препятствовать комплексному анализу.

Когда скрипт AutoIt выполняется через Riding.pif (AutoIt3.exe), он использует шелл-код для расшифровки обфусцированного Lumma Infostealer. После этого скрипт AutoIt запускает Lumma Infostealer, используя технику Process Hollowing. Хотя запущенный процесс отображается как "Riding.pif", на самом деле внутри этого процесса выполняется Lumma Infostealer.

Затем Lumma Infostealer расшифровывает зашифрованные C2-домены и связывается с C2-серверами. Наблюдаемая в ходе анализа C2-информация включает домены, связанные с конкретными IP-адресами. Наконец, Lumma Infostealer собирает и передает информацию, такую как учетные данные, сохраненные в веб-браузерах, данные Telegram и данные криптовалютных кошельков, на C2-сервер.

Основными типами данных, на которые нацелен Lumma Infostealer, являются: информация об учетных записях, хранящаяся в веб-браузерах, таких как Chrome и Edge; данные электронной почты; данные Telegram; данные, связанные с криптовалютами; данные программ удаленного доступа и т.д.

Следовательно, чтобы защититься от подобных атак, рекомендуется избегать хранения учетных данных в веб-браузерах, применять многофакторную аутентификацию ко всем учетным записям и развертывать мониторинг безопасности для обнаружения аномалий.

IPv4

• 109.104.153.203
• 58.56.31.64
• 64.227.2.250
• 64.31.56.58

Domains

• diadtuky.su
• rhussois.su
• todoexy.su

MD5

• 19259d9575d229b0412077753c6ef9e7
• 2832b640e80731d229c8068a2f0bcc39
• 5fe10c629656eebe75062d6e9000b352
• 95c3fcddda57de75975733b5512e53fb
• e1726693c85e59f14548658a0d82c7e8
• e489d88d670eb56d42feaa4c9c74c4fe
• e6252824be8ff46e9a56993eeece0de6