Возрождение Lumma Stealer - малварь эволюционирует

В январе 2025 года эксперты Netskope Threat Labs зафиксировали кампанию с использованием Lumma Stealer и задокументировали ее механизмы доставки и тактики, техники и процедуры (TTPs). Данная публикация посвящена детальному разбору нового образца с хэшем 87118baadfa7075d7b9d2aff75d8e730 и демонстрирует, как разработанная Netskope AI Labs модель машинного обучения позволяет выявлять подобные угрозы.

Анализ сфокусирован на трех ключевых аспектах работы вредоносной программы: обфускации кода, который скрывает ее истинную функциональность; техниках уклонения от анализа, включая анти-песочницу и анти-отладку; и механизмах обеспечения устойчивости, позволяющих зловреду закрепиться в системе.

Образец был идентифицирован как установочный файл Nullsoft Scriptable Install System (NSIS). При его распаковке с помощью утилиты 7z обнаруживаются два основных компонента: скрипт с расширением .nsi и директория $TEMP. Основная цепочка заражения инициируется через файл Parish.m4a, который на самом деле является зашифрованным пакетным файлом Windows. Далее в атаке используется легитимная программа autoit3.exe - скриптовый язык для автоматизации задач в Windows, который злоумышленники активно применяют в зловредных целях для обхода защитных механизмов.

Запускаемый AutoIt-скрипт (файл с расширением .a3x) подвергнут сложной обфускации с использованием цикла while и операторов switch-case. После деобфускации становится виден его истинный код, который реализует комплекс техник противодействия анализу. Вредоносная программа проверяет окружение выполнения, сверяя имя компьютера и пользователя с заранее заданными списками, а также ищет присутствие процессов, характерных для виртуальных машин или средств безопасности, таких как vmtoolsd.exe или SandboxieRpcSs.exe. При обнаружении признаков аналитической среды выполнение прекращается.

Также применяется анти-отладочная техника, основанная на измерении времени выполнения, и проверка наличия выхода в интернет через пинг к несуществующему домену. Важной частью является процедура снятия перехватчиков API (DLL Unhooking), которая восстанавливает оригинальные байты функций в системных библиотеках, чтобы обойти контроль со стороны антивирусных продуктов. Для обеспечения устойчивости малварь создает ярлык в папке автозагрузки Windows, который при старте системы запускает скрипт на JScript, в конечном счете приводя к выполнению основного полезного груза.

После прохождения всех проверок и обходов защиты вредоносная программа расшифровывает и распаковывает в памяти следующий этап атаки - исполняемый PE-файл. Для распаковки используется встроенный API Windows RtlDecompressFragment с алгоритмом LZ. К сожалению, на момент анализа сервер управления и контроля (C2) был неактивен, что не позволило изучить финальную стадию атаки.

Возрождение Lumma Stealer с усложнившимися методами обфускации и уклонения подчеркивает острую необходимость в комплексных решениях безопасности, которые объединяют статический, динамический анализ и обнаружение на основе машинного обучения. Не менее важна и осведомленность пользователей, поскольку многие цепочки заражения начинаются с открытия зловредных вложений или перехода по подозрительным ссылкам. Специалисты Netskope Threat Labs продолжат мониторинг активности Lumma Stealer и информировать общественность о развитии его тактик и процедур.

Domains

• annwt.xyz
• bardj.xyz
• greqjfu.xyz
• prvqhm.shop
• sorrij.top
• ungryo.shop
• vervzv.xyz

MD5

• 87118baadfa7075d7b9d2aff75d8e730

SHA1

• 78da004e332be8eaa5e111c34d6db3a28abb9767

SHA256

• ff7a1388fa59a9e1b43c5c88a1ee30e4abcec21a39882812a045aa9d9b865170