Lumma Stealer атакует через поддельные PDF: злоумышленники используют инфраструктуру учебных заведений

Lumma Stealer распространяется по модели Malware-as-a-Service (MaaS) и использует сложные методы маскировки, включая командные серверы, замаскированные под профили в Steam. Жертвами становятся пользователи, переходящие по фишинговым ссылкам или загружающие поддельные документы. В одном из случаев злоумышленники разместили вредоносный файл на WebDAV-сервере под видом документа с расценками на обучение.

После запуска LNK-файл выполняет PowerShell-скрипт, который загружает и расшифровывает основной вредоносный модуль. Финальная стадия атаки - загрузка и выполнение Lumma Stealer, который пытается связаться с командными серверами. Если доступ к ним заблокирован, троянец использует зашифрованные данные из профиля Steam для получения новых C2-адресов.

Эксперты предупреждают о необходимости усиления кибербезопасности и обучения сотрудников распознаванию фишинговых атак. Рекомендуется блокировать подозрительные ссылки, проверять расширения файлов и использовать современные антивирусные решения для защиты от подобных угроз.

IPv4

• 80.76.51.231
• 87.120.115.240

Domains

• 3xp3cts1aim.sbs
• aleksandr-block.com
• befall-sm0ker.sbs
• lev-tolstoi.com
• librari-night.sbs
• misha-lomonosov.com
• nikolay-romanov.su
• owner-vacat10n.sbs
• p10tgrace.sbs
• p3ar11fter.sbs
• peepburry828.sbs
• processhol.sbs
• smiteattacker.org
• sputnik-1985.com
• tripeggyun.fun
• vladimir-ulyanov.com
• yuriy-gagarin.com

URLs

• http://87.120.115.240/Downloads/254-zebar-school-for-children-that-tej-pro-order-abad-rural.pdf.lnk
• https://80.76.51.231/Kompass-4.1.2.exe
• https://80.76.51.231/Samarik

SHA256

• 40b80287ba2af16daaf8e74a9465a0b876ab39f68c7ba6405cfcb41601eeec15
• bb2e14bb962873722f1fd132ff66c4afd2f7dc9b6891c746d697443c0007426a
• e15c6ecb32402f981c06f3d8c48f7e3a5a36d0810aa8c2fb8da0be053b95a8e2