В последнее время наблюдается рост атак с использованием вредоносного ПО, распространяемого под видом взломанного программного обеспечения. Один из последних примеров - цепочка заражения, включающая троян Lumma Stealer и удаленный доступ Sectop RAT (также известный как ArechClient2). Эксперты по кибербезопасности предупреждают пользователей об опасности скачивания пиратских игр и программ, так как злоумышленники активно используют этот метод для внедрения вредоносного кода.
Описание
Как происходит заражение
Пользователь, ищущий взломанную версию игры, находит поддельный дистрибутив, содержащий Lumma Stealer. После установки троянец похищает данные с компьютера жертвы, включая логины, пароли и файлы cookies. Затем вредоносное ПО загружает и устанавливает Sectop RAT - мощный инструмент удаленного доступа, позволяющий злоумышленникам контролировать зараженное устройство.
Особенностью этой атаки является использование языка сценариев AutoIt, который применяется для маскировки вредоносной активности. Также в процессе заражения используются обфусцированные BAT-скрипты, CAB-архивы и файлы с поддельными расширениями, что усложняет обнаружение угрозы антивирусными решениями. Интересно, что как установщики Lumma Stealer, так и Sectop RAT задействуют легитимный файл AutoIt3.exe - это еще один способ обхода защитных механизмов.
Риски и последствия атаки
Lumma Stealer - это современный инфостилер, способный красть данные из браузеров, криптокошельков и мессенджеров. После сбора информации злоумышленники получают доступ к учетным записям жертв, что может привести к финансовым потерям или утечке персональных данных.
Sectop RAT предоставляет киберпреступникам почти полный контроль над системой: они могут выполнять команды, записывать нажатия клавиш, делать скриншоты и даже включать веб-камеру. Угроза усугубляется тем, что RAT остается активным в системе длительное время благодаря механизмам persistence.
Киберпреступники продолжают совершенствовать методы социальной инженерии, поэтому важно оставаться бдительными. В случае обнаружения подозрительной активности на компьютере рекомендуется провести глубокую проверку системы и при необходимости обратиться к специалистам по информационной безопасности.
Индикаторы компрометации
IPv4 Port Combinations
- 5.10.250.239:443
- 5.10.250.239:9000
Domains
- desk-app-now.com
- filesclosedset.icu
- keygen-win.org
- kletkamozga.ru
- lokrlogalshit.icu
- mastwin.in
- media98pc4.info
- ordinarniyvrach.ru
- stolewnica.ru
- vishneviyjazz.ru
- visokiywkaf.ru
- winsofthub.com
- yamakrug.ru
- yrokistorii.ru
URLs
- http://5.10.250.239:9000/wbinjget?q=0123456789ABCDF0123456789ABCDF01
- http://5.10.250.239:9000/wmglb
- https://desk-app-now.com/lander/domain/StoriesLovers.exe
- https://filesclosedset.icu/?0k6hXBdusTapP8CYMJmcNAUKybLjRxfl7GWFOz3i=V0hl1BTA5JDzitLWoyumGfCeXdaUjbxpc9OE7gYr62PkwqS&mPJuQUFgvh9DeW2wXbYcTKBOxEC536tikZjd7AN41ry
- https://keygen-win.org/
- https://kletkamozga.ru/iwyq
- https://lokrlogalshit.icu/?z=44&n=--Direct-Link
- https://mastwinp.in/qsaz
- https://media98pc4.info/?h=ba2f39ce88153a2bf090d048fe3f25a4&user=44
- https://mega.nz/file/mopXnaID#ugwPkVobK_Hy2_6r2oILrqiMSkx6cMeq3M80t1jfpVI
- https://ordinarniyvrach.ru/xiur
- https://stolewnica.ru/xjuf
- https://vishneviyjazz.ru/neco
- https://visokiywkaf.ru/mmtn
- https://winsofthub.com/dld/
- https://www.facebook.com/media/set/?set=a.122162683814544874&type=3
- https://yamakrug.ru/lzka
- https://yrokistorii.ru/uqya
SHA256
- 12140efda5651d6796bd19644933a1693f105b34c00de01f1fe048c9e0d796e1
- 333cea532ff231a81b5900a7e5fb26c07208fbfc2681b1f0f5e5dfe40f6f513e
- 5542f2410318bae89c35842ea4e8e5fbd95a8ff3c898d0f7770a3caeae38d09f
- 7b7ec8854865f7ae46f665686e7943615c5242622e7851b3a396f7011783b528
- a481fc21d48417179c01bc83de2da277d888a6afa6818222de99f5882753f816
- a7ffc16672e6f9eda716a3020fdd6c579d300895b4d8169939ac2eb8290bb739
- c09255d1b0b54132c0d40502ad635bcff41a9a3f92427b39879d620e96eb387d
- eafd64c21e2642be2cea38cdbc328d24e6f0f8cdbdbbf48b9231be6af29a1af1
