Кампания Lumma Stealer продолжает использовать итальянский домен с расширением .it для своих вредоносных операций.
Описание
Она использует технику ClickFix, которая перенаправляет на другие домены с JavaScript-кодом для генерации фальшивой CAPTCHA. Жертвам показывается предупреждение, в котором просится выполнить определенные действия с комбинацией клавиш Windows+R, Ctrl+V и Enter. Эта комбинация используется для запуска вредоносного кода PowerShell, который замаскирован под аудиофайл. Внутри него скрыт JavaScript-код, состоящий из трех шагов расшифровки и выполнения полезной нагрузки. Затем используется PowerShell для загрузки кода с нового домена, который также обфусцирован и содержит массив байтов, который может быть расшифрован с помощью известного XOR-ключа AMSI_RESULT_NOT_DETECTED. Этот код представляет собой последний этап кампании Lumma Stealer.
Indicators of Compromise
Domains
- consent.oogle.it
- eioae.shop
- farmagrupodw.com
- farmandfamilylife.shop
- retardoz.shop
- suarakutim.com
- urbanfzgproject.bet
- wezimin.shop
- x2.eioae.shop
URLs
- http://x2.eioae.shop/413a42a4c715693c37e5256e144fd76cc51160b74617024d.xml
- https://farmandfamilylife.shop/api
- https://objectstorage.ap-singapore-2.oraclecloud.com/n/ax4mqlu25efi/b/lakmewbkt/o/fly-wings-on-the-spot.html
- https://retardoz.shop/letsplay.m4a
- https://wezimin.shop/blindspot.mp3
- https://wezimin.shop/sandybox.m4a
- https://www.mediafire.com/file_premium/tvp04d3t8v7xgo7/hsdwswa.mp3
MD5
- 0931d99ebbc6d87427d7e96922e33ade
- 2e014438bd3f280174b37f38c370d882
- 8feef4a4753bf33560a69d2020deb6f7
SHA1
- 8cfed3ec74c914f97c4de4ae60ff3e0cde3a85e1
- 91f4ad19f923bdba9da74eb0c6608759e1210a58
- b5ac6bd9f1fa4251a48569a4730c41b11c31e2d9
SHA256
- 12604e1184d3c656d4c8307cd73e79b808d37a09d08710bccb6f7e9da872e77b
- 461bfc98e6f8e59326031d3e653c13eb4beb4decbbc24c818bdd098b838a3b79
- d70c50b5eb5e3a7c64717eae651b06656dab4dece5a4df269fc983d4c1ba4d21
