Стелер Arkei, написанный на C++, впервые появился в мае 2018 года и за последние пару лет несколько раз подвергался форкам/ребрендингу. Он был известен как Vidar, Oski, Mars и теперь Lumma, который на 46% совпадает с Arkei. Со временем основная функциональность всех вариантов осталась неизменной: кража кэшированных файлов, конфигурационных файлов и логов криптовалютных кошельков. Для этого он может выступать в роли плагина для браузера, но также поддерживает и отдельное приложение Binance.
Lumma распространяется через поддельный сайт, который имитирует легитимный сайт с файлами .docx - .pdf. При загрузке файла он возвращается с двойным расширением .pdf.exe.
Впервые Lumma попала в поле зрения Kaspersky Lab в августе 2022 года. Примерно в это же время энтузиаст кибербезопасности Fumik0_ написал в твиттере, что Lumma является "форком/рефактором" Mars. С тех пор Lumma претерпела ряд изменений:
- Kaspersky Lab нашли только один образец (MD5 6b4c224c16e852bdc7ed2001597cde9d), который обладал функциональностью сбора списка системных процессов. Этот же образец использовал другой URL для связи с C2 (/winsock вместо /socket.php);
- Также был найден один пример (MD5 844ab1b8a2db0242a20a6f3bbceedf6b), который, судя по всему, является отладочной версией. При достижении определенных фрагментов кода на C2 отправляется уведомление. Опять же, используется другой URL (/windbg).
- В более позднем образце (MD5 a09daf5791d8fd4b5843cd38ae37cf97) злоумышленники изменили поле User-Agent на "HTTP/1.1". Неясно, зачем это было сделано;
- Если все предыдущие примеры, включая три вышеупомянутых, загружали с C2 дополнительные библиотеки для 32-битных систем, чтобы можно было разобрать специфические файлы, связанные с браузером (например, пароли и т.п.), то MD5 5aac51312dfd99bf4e88be482f734c79 просто загружает всю базу данных на C2;
- MD5 d1f506b59908e3389c83a3a8e8da3276 имеет алгоритм шифрования строк. Теперь они кодируются шестнадцатеричной кодировкой и шифруются ключом XOR (первые 4 байта строки).
- Одно из самых значительных изменений коснулось MD5 c2a9151e0e9f4175e555cf90300b45c9. Данный пример поддерживает динамические конфигурационные файлы, получаемые из C2. Конфигурация кодируется Base64 и XORed с первыми 32 байтами конфигурационного файла.
Indicators of Compromise
MD5
- 5aac51312dfd99bf4e88be482f734c79
- 6b4c224c16e852bdc7ed2001597cde9d
- 844ab1b8a2db0242a20a6f3bbceedf6b
- a09daf5791d8fd4b5843cd38ae37cf97
- c2a9151e0e9f4175e555cf90300b45c9
- d1f506b59908e3389c83a3a8e8da3276
