Обнаружение методики Reflective Loading в Lumma Stealer

Обнаружение методики Reflective Loading в Lumma Stealer

Современные киберугрозы становятся все более изощренными, и одним из методов, который хакеры часто используют для доставки вредоносного ПО, является Reflective Loading. В недавнем анализе был изучен скрипт PowerShell, помеченный как Lumma Stealer, которые применяют данные техники для обхода систем безопасности.

Что такое Reflective Loading?

Reflective Loading — это метод, основанный на использовании библиотеки .NET, который позволяет загружать вредоносный исполняемый код непосредственно в память устройства жертвы. Это означает, что хакеры могут:

  • Избегать записи вредоносного кода на диск;
  • Обходить меры безопасности, эффективно отслеживающие записи в файловой системе;
  • Выполнять сценарии из памяти, что усложняет задачу для системы обнаружения вредоносного ПО.

Анализ скрипта Lumma Stealer

В рамках специального анализа был загружен образец скрипта Lumma Stealer в Malware Bazaar пользователем с ником JAMESWT_MHT. Переменные скрипта были переименованы для лучшего отражения их функций. В коде были выявлены две полезные нагрузки в кодировке Base64, однако они имели недостающие начальными символами «TV».

Для восстановления полных строк в кодировке Base64 недостающая часть была деобфускирована с помощью метода .replace() и добавлена к полезным нагрузкам. Скрипт использовал Reflective Loading для выполнения вредоносной полезной нагрузки в памяти, при этом динамический анализ подтвердил, что она выполнялась под видом законной утилиты RegSvcs.exe.

Идентификация и инструменты

Полезная нагрузка была идентифицирована как Lumma Stealer, замаскированная под RegSvcs.exe. Для извлечения конфигурации использовался Lumma Stealer configuration extractor, разработанный RussianPanda, совместимый с последними версиями Lumma Stealer и использующий ChaCha20 для шифрования C2.

Выводы и последствия

Этот анализ демонстрирует методы и инструменты, используемые хакерами для распространения вредоносного ПО Lumma Stealer. Знание таких тактик, как Reflective Loading, позволяет разработчикам систем безопасности более эффективно выявлять и предотвращать атаки, основываясь на глубоких анализах поведения вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: