Главная страница » IOC
0
6 месяцев
IOC

Lumma Stealer IOCs - VI

Spyware

В августе 2024 года отдел реагирования на угрозы (TRU) компании eSentire наблюдал атаку Go Injector, которая пыталась развернуть Lumma Stealer, вредоносную программу для кражи информации.

Lumma Stealer

Lumma Stealer, активная с августа 2022 года, в основном нацелена на криптовалютные кошельки, браузерные расширения 2FA и конфиденциальные данные, и предлагается в качестве вредоносной программы как услуга (MaaS) на российских форумах. Цепочка атак начиналась с того, что пользователя обманом заставляли выполнить Base64-кодированную команду PowerShell через фальшивую страницу капчи, что приводило к загрузке вредоносного файла. Этот файл, замаскированный под легитимное приложение, был проанализирован и обнаружил, что он содержит Go Injector - программу для внедрения вредоносного ПО, написанную на языке Go.

Go Injector внедрял модуль Lumma Stealer в приостановленный процесс BitLockerToGo.exe, используя трехэтапный процесс. Полезная нагрузка была расшифрована с помощью AES GCM, что позволило обнаружить типичные base64-подобные строки Lumma Stealer и его командно-контрольные (C2) домены. В ESentire отмечают, что этот инцидент может свидетельствовать о модели сервиса Pay-Per-Install (PPI), поскольку аналогичная кампания была замечена при доставке другой вредоносной программы, StealC.

Indicators of Compromise

Domains

  • bassizcellskz.shop
  • celebratioopz.shop
  • complaintsipzzx.shop
  • deallerospfosu.shop
  • femininedspzmhu.shop
  • languagedscie.shop
  • mennyudosirso.shop
  • quialitsuzoxm.shop
  • writerospzm.shop

URLs

  • https://bidvertiser.b-cdn.net/smart1
  • https://bidvertiser.b-cdn.net/smart1.zip
  • https://bidvertiser.b-cdn.net/smart2
  • https://bidvertiser.b-cdn.net/smart3
  • https://bidvertiser.b-cdn.net/smart4
  • https://bidvertiser.b-cdn.net/smart5

MD5

  • 4462d0fc06d8b2df9b7f3e682eafb03e
  • 6411a0603290b9f58e6dd01a340f8f34
  • 958222847ecd31919302ac688c218cea
  • 98b841949d33df11ffb6a5d0a703142e
  • a8158297db94c2777dad149397e2aef9
  • aba001cdfa36d55f26e8fcfa0fab9586
  • b8aed65315bd0a4e20b375aba81d916c
  • b99f1c5f8c2fbdbeaafc2d5503a12d8a
  • de8c86caab42a4d335aca303f936dd23
  • e372bbe59dc7da4fdab393da71404848
  • e779ad7fcdc079af0012414407e2e892
Комментарии: 0
Похожие записи
0
23 часа
IOC

Тенденциях развития Infostealer за февраль 2025 года

Spyware
Для сбора данных и противодействия Infostealer разведывательный центр AhnLab Security использует разные системы, такие как автоматическая система сбора вредоносных программ, медовые точки электронной почты и система анализа C2-информации.
0
2 дня
IOC

Поддельные репозитории GitHub, созданные с помощью искусственного интеллекта, способствуют распространению SmartLoader и LummaStealer

security
Киберпреступники используют поддельные репозитории GitHub для распространения вредоносных программ. Эти репозитории представляют собой легитимные инструменты, такие как игровые читы, взломанное программное
0
7 дней
IOC

Вредоносная рекламная кампания приводит к похитителям информации, размещенным на GitHub

Spyware
В начале декабря 2024 года была обнаружена крупномасштабная кампания вредоносной рекламы, затронувшая около миллиона устройств по всему миру. Атака произошла через незаконные веб-сайты потокового вещания