Lumma Stealer - это вредоносная программа, которая служит для кражи информации. Она доступна через сервис Malware-as-a-Service (MaaS). Основной целью Lumma Stealer является кража конфиденциальных данных, таких как пароли, информация из браузера и данные криптовалютных кошельков. Злоумышленники, использующие эту программу, усовершенствовали свою тактику и перешли от традиционного фишинга к использованию поддельной проверки CAPTCHA. Они используют легитимное программное обеспечение для доставки Lumma Stealer, что делает эту угрозу постоянной и стойкой.
Lumma Stealer
Злоумышленники создают фишинговые сайты и размещают их на различных провайдерах, часто используя сети доставки контента (CDN). Пользователей обманом заставляют переходить на поддельные CAPTCHA-сайты. При нажатии кнопки "Я не робот" загружается начальный стейджер, который является загрузчиком вредоносного ПО. Код веб-страницы обнаруживает встроенную полезную нагрузку и содержит сценарий PowerShell, который копируется в буфер обмена при нажатии кнопки проверки. В дальнейшем выполняется команда PowerShell, которая инициирует загрузку вредоносного ПО на целевую машину.
Загруженный файл '2ndhsoru' является подделанным PE-файлом Windows-инструмента "Dialer.exe" со скриптом в секции оверлея. Загруженный скрипт является обфусцированным JavaScript-кодом. Далее следует расшифровка полезной нагрузки и ее загрузка на целевую машину с использованием легитимных программ и тактики "углубления процесса". Lumma Stealer затем начинает поиск и кражу конфиденциальных файлов и данных, таких как пароли и информация о криптовалютных кошельках, в различных каталогах на компьютере.
Indicators of Compromise
Domains
- bassizcellskz.shop
- celebratioopz.shop
- complaintsipzzx.shop
- deallerospfosu.shop
- futureddospzmvq.shop
- languagedscie.shop
- mennyudosirso.shop
- quialitsuzoxm.shop
- writerospzm.shop
SHA256
- 04beac6c1d6023442f94eebe4cdcec11bc47e0a89ec38ba2eb0584d741f8806d
- 08f30ece5f7e77a69e58a970b3684c2a0eba1aa203ac97836dad32fc10a15e90
- 1cb6b6b1f0889771b740a22f119688e427be00de41e5a9440b2a85940b71396b
- 2e56b42cf272f55cb3c8ed67245babb70b995d5b86863017fc846a68244b5773
- 3f4d33bc3402326c72db9ff484cccb929df458ca44b389ce1c505a3f237d23a4
- 432a473f21a57610df93773a79ae94365d6c2b6aa1555123bfdd658a6f28cf2f
- 44fe887d10886aa8bbe8232fee270c21992aba9db959f58ebaea348af45e087a
- 7514d84ca507562a346896ff48a57d1d475f3cfed16e5e6abefd33a97c6323b9
- 7d6ee310f1cd4512d140c94a95f0db4e76a7171c6a65f5c483e7f8a08f7efe78
- 7fbbbfb9a886e43756b705317d3dff3bc0b1698007512d4c42d9df9c955780ce
- 867a63971c9e09e9f941d839d7ed328a4cdfea2fe985488e7d96bc0b31a34de2
- 92f31b07a70b98bd4f9e24e94acf10f7ac83cb2b642ca41c8bde147c9295588b
- ca5c90bb87d4cb3e008cf85c2af5ef8b198546586b6b3c50cd00d3e02514e8b8
- d8b7c7178fbadbf169294e4f29dce582f89a5cf372e9da9215aa082330dc12fd
