Криптер CypherIT используется для распространения нового варианта Lumma Stealer

Цепочка заражения

• Приманка: Жертве предлагают скачать "крякнутые" версии популярного софта (например, WinPCIN от Siemens или CAD-инструмент CATIA) через соцсети или файлообменники.
• Архив с паролем: Пользователь получает 7z-архив, защищённый паролем, внутри которого — Nullsoft-установщик с вредоносным кодом.
• Скрытая установка: Запускается AutoIt-скрипт, который:
  • Создаёт подвешенный процесс explorer.exe;
  • Внедряет в него Lumma Stealer через технику Process Hollowing;
  • Декодирует финальную нагрузку с помощью RC4 + LZNT1-сжатия.
• Дополнительная угроза: В некоторых случаях троянец загружает криптоклиппер, который подменяет кошельки в буфере обмена на адреса злоумышленников.

Почему это опасно?

• CypherIT изначально позиционировался как инструмент для защиты EXE-файлов, но с 2018 года активно используется в кибератаках.
• AutoIt, будучи легитимным скриптовым языком, часто эксплуатируется для обхода антивирусов.
• Lumma Stealer крадет:
  • Данные браузеров (логины, куки);
  • Криптовалютные кошельки;
  • Информацию о банковских операциях.

Как защититься?

• Избегайте "кряков": Скачивайте софт только с официальных сайтов.
• Проверяйте файлы: Подозрительные архивы с паролями — красный флаг.
• Используйте песочницы: Запускайте непроверенные EXE-файлы в изолированной среде (например, Windows Sandbox).
• Мониторьте процессы: Подозрительная активность explorer.exe или AutoIt3.exe — повод для проверки.

Статистика и аналоги

• CypherIT продолжает использоваться в атаках, несмотря на закрытие его официального сайта (cypherit[.]org) в 2020 году.
• Подобные схемы ранее применялись в кампаниях с RedLine Stealer и Vidar.

Вывод: Эта атака сочетает социальную инженерию и продвинутые методы обфускации, что делает её особенно опасной. Даже легитимные инструменты вроде AutoIt могут стать оружием в руках злоумышленников.

URLs

• https://5bubblezdjw.live/kudf
• https://8winterghzp.digital/ywq
• https://drive.google.com/file/d/15xOJiwcbcMusVVu19GSUw5SWjx23-hqT
• https://ehaircuirfm.top/aldk
• https://gettoknwg.life/xapd
• https://jackthyfuc.run/xpas
• https://leasegjjr.digital/iwi
• https://media.dow034.sbs/Winpcin+Siemens+Download.zip
• https://media.kot3jsd.cyou/Download+catia+v6+2012+full+crack+Full.zip
• https://narrathfpt.top/tekq
• https://snakerjs.run/fkui
• https://t.co/RrEVOGlKpW
• https://threatqjqy.top/nybe
• https://vittuv.com/2wynIB
• https://werhey.com/2G206c
• https://www.facebook.com/media/set/?set=a.1989152548132335&1UuUSzl3y=S7qQ5y&_rdr

SHA256

• 12d0fd9e0d4688ff75bc17b80d627f4ec2b398878cec2487af8c4f4ff1de2bf0
• 4293ee2f174d940aea1fc6c22cda22b67775982d310f2049cf7450e34de3ec89
• 595b1b24c50874e57741c251de7b7cf2db0c2d4804ea8b1c194a41dbe6806113
• 755143c1aa818f7be4405e0f52827d2b4ea0d72d7dcccbd6c6e789dfa787222b
• 83f4cfad4525e51378c7793c6d42c390da6554ab43ce7106ab2fd37c64d228b6
• af0bc229802a513b27120bf18b693389cfdfa1d0ab198d015927d0138e807d49
• b0baec0c7b466bea4c48903ef2cb243e28a2aafcab0a58c8306d41cb5a7c0c9c