LummaC2 - это Infostealer, который активно распространяется, маскируясь под нелегальные программы (например, крэки, кейгены и программы для взлома игр), доступные на сайтах-распространителях, YouTube и LinkedIn с использованием техники SEO poisoning. В последнее время он также распространяется через поисковую рекламу, выдавая себя за веб-страницы Notion, Slack, Capcut и т. д.
LummaC2
LummaC2 - это вредоносная программа, которая распространяется через нелегальные программы, такие как крэки и кейгены. Она также использует технику SEO-отравления и поисковую рекламу для замаскировки своей активности. Последние обновления программы позволяют ей использовать платформу Steam в качестве источника получения доменов C2. Это делает ее более сложной для обнаружения, поскольку кажется, что она использует легитимные веб-страницы.
Для распространения вредоносной программы LummaC2 используются различные методы. Некоторые версии распространяются в виде одного файла EXE, в то время как другие используют сжатые файлы, содержащие вредоносную DLL и запускающую ее легитимную программу. Кроме того, LummaC2 использует разные домены C2, которые он получает из кодов выполнения страницы Steam.
Вредоносная программа LummaC2 может загружать и расшифровывать файл настроек, который содержит информацию о программе кошелька, хранилище браузера, пароли, файлы пользовательских директорий, программы мессенджеров, программы FTP и многое другое. Полученные данные затем отправляются на C2.
Один из особых аспектов LummaC2 состоит в использовании легитимных доменов, таких как Steam, чтобы снизить подозрения. Домен C2, полученный с помощью Steam, может быть изменен в любое время, что делает обнаружение программы еще сложнее. Она также использует методы шифрования, такие как Base64 и шифрование Цезаря, для защиты своих данных и коммуникации с C2.
В целом, LummaC2 - это специализированная вредоносная программа, которая замаскировывается под легитимные программы и использует различные методы для распространения и обхода обнаружения. Ее основная цель - похищение информации, включая данные о кошельках, паролях и других важных данных пользователей. С помощью использования Steam в качестве источника доменов C2, она становится еще более опасной и сложной для борьбы с ней.
Indicators of Compromise
URLs
- https://callosallsaospz.shop/api
- https://indexterityszcoxp.shop/api
- https://lariatedzugspd.shop/api
- https://liernessfornicsa.shop/api
- https://outpointsozp.shop/api
- https://reinforcedirectorywd.shop/api
- https://shepherdlyopzc.shop/api
- https://sicillyosopzv.shop/api
- https://steamcommunity.com/profiles/76561199724331900
- https://unseaffarignsk.shop/api
- https://upknittsoappz.shop/api
MD5
- 5aa70336af6cdb81bd09749c1b484f70
- 9434678b82702b4b2a639ccc5304a527
- 9a8cf58306ed35513e896e573c2a470f
- f88602927fbdea9d9fa84f2415676a3c
