Lumar - это совершенно новый стилер, стремительно набирающая популярность в подпольных сообществах. Он был анонсирован в июле 2023 года пользователем под ником "Collector", который рекламировал новый стейлер как обладающий следующими возможностями:
- Перехват сессий Telegram;
- сбор паролей, cookies, автозаполнения и т.д;
- Извлечение файлов с рабочего стола пользователя;
- извлечение данных из различных криптовалютных кошельков;
Несмотря на наличие всех этих функций, вредоносная программа имеет относительно небольшой размер (всего 50 КБ), что отчасти объясняется тем, что она написана на языке C.
При выполнении вредоносная программа разрешает функции с помощью CRC32. Затем он проверяет язык пользовательского интерфейса ОС и завершает работу, если он установлен на язык, используемый в странах СНГ. После этого начинается процесс сбора информации, в ходе которого на C2 отправляется информация о процессоре, памяти, раскладке клавиатуры и т.д. Далее Lumar запускает три различных потока, каждый из которых ищет определенные данные:
- файлы .txt, .doc, .jpg, .rdp, .xls и др;
- cookies браузера и кэшированные пароли;
- файлы, связанные с криптовалютными кошельками.
Затем данные собираются, упаковываются в zip-архив и отправляются на C2.
C2 размещается на хостинге автора вредоносной программы, поскольку он продает весь пакет как MaaS. Для входа в систему необходимо ввести имя пользователя и пароль. После входа в систему открываются три вкладки:
- Home;
- Stats (статистика по жертвам);
- Logs (информация об эксфильтрации, которая может быть загружена в виде ZIP-файла).
Кроме того, панель C2 поддерживает загрузку последней версии Lumar и настройку Telegram (покупатель будет уведомлен о новых поступлениях данных через Telegram).
Indicators of Compromise
MD5
- 46b892398cfb1a1c59683fc8abfcc5fc
- 5fc82bd3590eae30c26f1a42f4e711f4