Вредонос LummaC2 крадёт конфиденциальные данные организаций

Как работает атака

Злоумышленники распространяют LummaC2 через:

• Фишинговые письма с поддельными CAPTCHA, требующими вставки кода в окно «Выполнить» (Win+R).
• Поддельные версии ПО, например, медиаплееров или системных утилит.

После запуска вредонос проверяет имя пользователя и компьютера, чтобы избежать детектирования на системах самих злоумышленников. Затем он связывается с C2-сервером, отправляя POST-запросы, и получает команды в формате JSON.

Функционал LummaC2

• Кража данных браузеров (Chrome, Edge, Mozilla).
• Загрузка и выполнение файлов с удалённых серверов.
• Скриншоты экрана в формате BMP.
• Самоудаление по команде с C2.
• Зловред работает в памяти, не оставляя следов на диске, что затрудняет обнаружение.

LummaC2 демонстрирует растущую изощрённость киберпреступников, использующих продвинутые методы обфускации. Организациям следует усилить защиту периметра и контролировать выполнение скриптов.

Domains

• advennture.top
• authorizev.site
• blast-hubs.com
• blastikcn.com
• bugildbett.top
• calmingtefxtures.run
• castmaxw.run
• changeaie.top
• citydisco.bet
• citywand.live
• cjlaspcorne.icu
• clarmodq.top
• climatologfy.top
• collapimga.fun
• computeryrati.site
• contemteny.site
• decreaserid.world
• dilemmadu.site
• drawzhotdog.shop
• dsfljsdfjewf.info
• earthsymphzony.today
• easyfwdr.digital
• equatorf.run
• esccapewz.run
• fanlumpactiras.pw
• faulteyotk.site
• featureccus.shop
• ferromny.digital
• forbidstow.site
• foresctwhispers.top
• fragnantbui.shop
• freckletropsao.pw
• friendseforever.help
• furthert.run
• galxnetb.today
• generalmills.pro
• ghostreedmnu.shop
• goalyfeastz.site
• governoagoal.pw
• gutterydhowi.shop
• hemispheredodnkkl.pw
• hemispherexz.top
• holidamyup.today
• hoyoverse.blog
• htardwarehu.icu
• ironloxp.live
• jawdedmirror.run
• jowinjoinery.icu
• jrxsafer.top
• latchclan.shop
• latitudert.live
• legenassedk.top
• liftally.top
• lonfgshadow.live
• longitudde.digital
• medicinebuckerrysa.pw
• mercharena.biz
• metalsyo.digital
• mrodularmall.top
• musclefarelongea.pw
• musicallyageop.pw
• naturewsounds.help
• navstarx.shop
• nestlecompany.pro
• nighetwhisper.top
• offensivedzvju.shop
• opposezmny.site
• oreheatq.live
• owlflright.digital
• ownerbuffersuperw.pw
• paleboreei.biz
• pasteflawwed.world
• penetratebatt.pw
• pepperiop.digital
• pinkipinevazzey.pw
• piratetwrath.run
• plantainklj.run
• pomelohgj.top
• puerrogfh.live
• quavabvc.top
• quietswtreams.life
• quilltayle.live
• rambutanvcx.run
• reinforcenh.shop
• reliabledmwqj.shop
• rodformi.run
• salaccgfa.top
• scenarisacri.top
• seallysl.site
• seizedsentec.online
• servicedny.site
• shiningrstars.help
• sighbtseeing.shop
• smeltingt.run
• spacedbv.world
• starcloc.bet
• starofliught.top
• starrynsightsky.icu
• steelixr.live
• stogeneratmns.shop
• stormlegue.com
• strawpeasaen.fun
• targett.top
• tirechinecarpet.pw
• touvrlane.bet
• tracnquilforest.life
• travewlio.shop
• triplooqp.world
• vozmeatillu.shop
• wallkedsleeoi.shop
• weldorae.digital
• xayfarer.live
• ywmedici.top
• zestmodp.top

MD5

• 4afdc05708b8b39c82e60abe3ace55db
• c7610ae28655d6c1bce88b5d09624fef
• e05df8ee759e2c955acc8d8a47a08f42

SHA1

• 1239288a5876c09d9f0a67bcfd645735168a7c80
• b66da4280c6d72adcc68330f6bd793df56a853cb

TLSH

• 3b267fa5e1d1b18411c22e97b367258986e871e5

SHA256

• 19cc41a0a056e503cc2137e19e952814fbdf14f8d83f799aea9b96abff11efbb
• 2f31d00feefe181f2d8b69033b382462ff19c35367753e6906ed80f815a7924f
• 325daeb781f3416a383343820064c8e98f2e31753cd71d76a886fe0dbb4fe59a
• 4d74f8e12ff69318be5eb383b4e56178817e84e83d3607213160276a7328ab5d
• 76e4962b8ccd2e6fd6972d9c3264ccb6738ddb16066588dfcb223222aaa88f3c
• 7a35008a1a1ae3d093703c3a34a21993409af42eb61161aad1b6ae4afa8bbb70
• a9e9d7770ff948bb65c0db24431f75dd934a803181afa22b6b014fac9a162dab
• b287c0bc239b434b90eef01bcbd00ff48192b7cbeb540e568b8cdcdc26f90959
• ca47c8710c4ffb4908a42bd986b14cddcca39e30bb0b11ed5ca16fe8922a468b