LummaC2 - похититель информации на языке C, продающийся на подпольных форумах с декабря 2022 года. Ранее компания KrakenLabs опубликовала подробный анализ этой вредоносной программы, в котором рассматривались основные рабочие процессы LummaC2, различные методы обфускации и способы их преодоления для эффективного анализа вредоносной программы. С тех пор вредоносная программа претерпела различные обновления и в настоящее время находится в версии 4.0.
К числу значимых обновлений относятся:
- Обфускация Control Flow Flattening, реализованная в сборках по умолчанию (даже без использования упаковщика).
- Новая техника Anti-Sandbox, позволяющая отложить детонацию образца до обнаружения активности человеческой мыши.
- Строки теперь шифруются XOR, а не просто модифицируются путем добавления нежелательных строк в середине.
- Поддержка динамических конфигурационных файлов, получаемых из C2. Конфигурация кодируется Base64 и XOR-шифруется с помощью первых 32 байт конфигурационного файла.
- Принуждает атакующих использовать криптер для своих сборок.
Indicators of Compromise
Domains
- curtainjors.fun
- gogobad.fun
- superyupp.fun
SHA256
- 4408ce79e355f153fa43c05c582d4e264aec435cf5575574cb85dfe888366f86
- 976c8df8c33ec7b8c6b5944a5caca5631f1ec9d1d528b8a748fee6aae68814e3
- b14ddf64ace0b5f0d7452be28d07355c1c6865710dbed84938e2af48ccaa46cf
- de6c4c3ddb3a3ddbcbea9124f93429bf987dcd8192e0f1b4a826505429b74560
