Киберпреступники развернули масштабную кампанию по распространению опасного троянца Lumma Stealer, используя фиктивный домен telegrampremium[.]app, имитирующий официальный сервис Telegram Premium.
Описание
По данным аналитиков CYFIRMA, при посещении этого ресурса происходит автоматическая загрузка исполняемого файла start.exe без какого-либо взаимодействия с пользователем, что значительно повышает риск заражения. Внутри файла обнаружен новый вариант вредоносного ПО, специализирующегося на краже конфиденциальных данных: учетных записей браузеров, данных криптовалютных кошельков и системной информации. Этот инцидент демонстрирует эскалацию тактик социальной инженерии, где злоумышленники эксплуатируют доверие к популярным брендам для масштабных атак.
Технический анализ start.exe выявил высокий уровень энтропии (превышающий 7), что указывает на применение крипторов для обфускации кода. Это усложняет детектирование традиционными средствами защиты. Файл написан на C/C++ и использует широкий спектр Windows API для системных операций: манипуляции с файловой системой (CreateFileW, CopyFileW), доступа к буферу обмена (OpenClipboard, SetClipboardData), изменения реестра (RegCreateKeyExW) и выполнения процессов (ShellExecuteW). Особую опасность представляют функции LoadLibraryExW и FreeLibrary, позволяющие динамически загружать библиотеки и стирать следы активности, что характерно для файловых вредоносов.
Инфраструктура домена telegrampremium[.]app, зарегистрированного 13 июля 2025 года через WebNic.cc, отличается минимальным сроком существования (17 дней) и размещена на IP-адресе 87[.]120[.]126[.]213 в Германии. Такие показатели типичны для краткосрочных операций. При запуске троянец создает в директории %TEMP% файлы .jpg, маскирующие зашифрованные нагрузки. Один из них - lra.jpg - позже переименовывается в скрипт lra.jpg.cmd для удаления следов первичного заражения.
Сетевая активность Lumma Stealer включает DNS-запросы к публичному серверу Google (8.8.8.8), что позволяет обходить корпоративные системы мониторинга. Аналитики выделяют два типа запрашиваемых доменов: легитимные ресурсы (t.me, steamcommunity.com), потенциально используемые для скрытого взаимодействия с командными серверами, и алгоритмически сгенерированные имена (teijx.lat, prvqhm.shop), указывающие на применение Domain Generation Algorithm (DGA) для устойчивости инфраструктуры.
В рамках тактик MITRE ATT&CK троянец реализует комплекс методов:
- Уклонение от защиты: упаковка кода (T1027.002), маскировка под легитимное ПО (T1036).
- Сбор данных: перехват содержимого буфера обмена (T1115), сканирование реестра (T1012).
- Командное управление: использование зашифрованных каналов (T1573) и прикладных протоколов (T1071).
- Деструктивные действия: потенциальное уничтожение информации (T1485).
Кампания демонстрирует эволюцию Lumma Stealer в части автоматизации доставки и расширения функционала. Ранее для активации подобных угроз требовались действия пользователя (например, запуск вложений), но теперь заражение происходит мгновенно при посещении поддельного сайта. Это особенно опасно для владельцев криптовалютных активов, так как троянец целенаправленно ищет данные кошельков Exodus, Atomic и MetaMask.
Эксперты CYFIRMA отмечают, что подобные атаки подчеркивают необходимость усиления мониторинга доменных репутаций и анализа сетевого трафика на предмет аномальных DNS-запросов. Обнаруженные MD5-хеши (например, 86170725074de3b8edcd7671afa9b69d) должны быть немедленно добавлены в системы проверки. Инцидент также иллюстрирует глобальную тенденцию: злоумышленники всё чаще комбинируют брендовый фишинг с технически сложными вредоносами, что требует комплексного подхода к киберразведке.
Потенциальный ущерб от нового варианта Lumma Stealer включает не только кражу финансовых данных, но и компрометацию корпоративных систем через инфицированные рабочие станции. Анализ временных меток указывает, что кампания остается активной, а использование DGA-доменов позволяет злоумышленникам быстро восстанавливать инфраструктуру при блокировке. В текущем ландшафте угроз подобные многоступенчатые атаки становятся стандартом, а их своевременное выявление напрямую зависит от интеграции телеметрии конечных точек и актуальных тактик MITRE ATT&CK в системы защиты.
Индикаторы компрометации
IPv4
- 87.120.126.213
Domains
- annwt.xyz
- cidtfhh.shop
- daruubs.top
- furwmsx.shop
- greqjfu.xyz
- prvqhm.shop
- rayrhs.top
- teijx.lat
- telegrampremium.app
- ungryo.shop
SHA1
- 0736ccd4920e227ebae3b0ded4950c01f663af6a
- 3921ba3ad9ace63827a8ad2d70c1c4a79d462f24
- 7a77f579c6a4bda83d659be4e39ddfd7b7e2f73c
- 888e33a919d5dda152a539aed3f5a3b7840937bc
- 8c893331a5e01e0c99a7ad0f7f1cbb9418a86d4a
- 9a5f72502fd9be56226716e6435888a43ff43154
- fc0e3ff066427316bcb001d05b3ac5692093d6a3
SHA256
- b97dcfb5161a59bd88fd821542e9d066c77c4ad49f09c81f472b26a5339f44f2
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 | rule LummaStealer_TelegramPremium_Variant { meta: description = "Detects Lumma Stealer variant delivered via telegrampremium[.]app" author = "CYFIRMA Threat Research" date = "2025-07-30" hash_sample = "b97dcfb5161a59bd88fd821542e9d066c77c4ad49f09c81f472b26a5339f44f2" malware_family = "Lumma Stealer" strings: $domain1 = "telegrampremium.app" $domain2 = "teijx.lat" $domain3 = "prvqhm.shop" $domain4 = "daruubs.top" $domain5 = "cidtfhh.shop" $domain6 = "annwt.xyz" $domain7 = "ungryo.shop" $domain8 = "greqjfu.xyz" $domain9 = "rayrhs.top" $domain10 = "furwmsx.shop" $ip1 = "87.120.126.213" $hash1="b97dcfb5161a59bd88fd821542e9d066c77c4ad49f09c81f472b26a5339f44f2" condition: (any of ($hash*) and any of ($domain*) and any of ($ip*)) } |
