СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17.04.2025
#Dev#ИБ

Эволюция LummaStealer: новые методики кражи данных

Эволюция LummaStealer: новые методики кражи данных

LummaStealer, также известный как LummaC2, представляет собой сложную вредоносную программу, которая впервые была выявлена в 2022 году и в основном связывается с русскоязычными злоумышленниками. Это вредоносное ПО работает как вредоносное ПО как услуга (MaaS) и нацеливается на различные операционные системы Windows.

Программа демонстрирует исключительную способность эволюционировать, что затрудняет обнаружение новых экземпляров системами безопасности на основе предыдущих правил.

Цели внедрения и механизмы работы

Основная задача LummaStealer — кража конфиденциальной информации, такой как:

  • учетные данные
  • файлы cookie
  • криптовалютные кошельки
  • личная информация для установления личной идентичности

Такое поведение классифицирует LummaStealer как вредоносное ПО для кражи информации. Первоначальные методы развертывания включали:

  • стороннюю загрузку библиотек DLL через несанкционированное программное обеспечение
  • скрытые полезные исполняемые файлы в файлах MSI
  • документы-приманки, такие как PDF-файлы

Новые способы распространения

Недавние исследования выявили новый метод обхода, при котором используются надежные системные процессы. LummaStealer в основном распространяется через фишинговые электронные письма, заманивая жертв на поддельные страницы с капчей. Этот трюк побуждает пользователей выполнять сценарии, которые облегчают проникновение вредоносного ПО в систему.

Особый метод, используемый LummaStealer, заключается в манипуляции процессом mshta.exe для выполнения вредоносных HTML-приложений (HTA-файлов), что идентифицируется как T1218.005 во фреймворке MITRE ATT&CK. HTA-файлы содержат зашифрованный JavaScript, который при запуске выполняет вредоносные действия без применения мер безопасности.

Более того, вредоносная ссылка маскируется под файл MP4, который содержит сценарий PowerShell, сильно зашифрованный, чтобы скрыть свои истинные намерения.

Рост рынка киберпреступности

Операторы LummaStealer создали внутреннюю торговую площадку в Telegram, которая облегчает обмен украденной информацией с помощью сложной системы оценки и поиска. В последнее время они активизировали свое распространение, нацеливаясь на различные сектора с помощью агрессивных фишинговых кампаний.

Модели подписки в рамках этого MaaS подчеркивают коммерциализацию проекта, предлагая различные уровни с разными функциональными возможностями для управления киберкампаниями. Торговая площадка позволяет участникам покупать журналы скомпрометированных данных, используя криптовалютные транзакции, что создает стимулы для продавцов.

Эти действия указывают на заметный сдвиг в сторону стратегий монетизации, особенно с учетом того, что в августе 2024 года заработал рынок журналов, что дополнительно подчеркивает эволюцию круга хакеров, связанных с LummaStealer.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: