Lumma Stealer распространяется через уведомление о поддельной уязвимости безопасности на проекте GitHub
В настоящее время множество пользователей GitHub получают письма с заголовком «IMPORTANT! Security Vulnerability Detected in your Repository (Issue #1)», которые предупреждают о наличии предполагаемой уязвимости безопасности и содержат подозрительную ссылку. Однако выяснилось, что этот домен был зарегистрирован только сегодня и используется для распространения вредоносного ПО. По переходу по ссылке отображается фальшивое предупреждение, которое попросит пользователя нажать определенные клавиши для доказательства, что он не является ботом. Но эти клавиши фактически исполняют вредоносный код, что приводит к загрузке и выполнению вредоносной программы Lumma Stealer. Эта программа предназначена для кражи конфиденциальной информации пользователей, включая данные для входа в систему и личные данные. В случае неудачи при подключении к C2-доменам, вредоносная программа также собирает информацию из профилей сообщества Steam.
Indicators of Compromise
Domains
- eemmbryequo.shop
- github-scanner.com
- github-scanner.shop
- keennylrwmqlw.shop
- licenseodqwmqn.shop
- reggwardssdqw.shop
- reinforcedirectorywd.shop
- relaxatinownio.shop
- tendencctywop.shop
- tesecuuweqo.shop
- tryyudjasudqo.shop
URLs
- https://2x.si/DR1.txt
- https://2x.si/l6E.exe
- https://eemmbryequo.shop/api
- https://keennylrwmqlw.shop/api
- https://licenseodqwmqn.shop/api
- https://reggwardssdqw.shop/api
- https://relaxatinownio.shop/api
- https://steamcommunity.com/profiles/76561199724331900
- https://tendencctywop.shop/api
- https://tesecuuweqo.shop/api
- https://tryyudjasudqo.shop/api
MD5
- fac2188e4a28a0cf32bf4417d797b0f8
SHA1
- 1970de8788c07b548bf04d0062a1d4008196a709
SHA256
- d737637ee5f121d11a6f3295bf0d51b06218812b5ec04fe9ea484921e905a207