Обнаружение методики Reflective Loading в Lumma Stealer

Современные киберугрозы становятся все более изощренными, и одним из методов, который хакеры часто используют для доставки вредоносного ПО, является Reflective Loading. В недавнем анализе был изучен скрипт PowerShell, помеченный как Lumma Stealer, которые применяют данные техники для обхода систем безопасности.
Что такое Reflective Loading?
Reflective Loading — это метод, основанный на использовании библиотеки .NET, который позволяет загружать вредоносный исполняемый код непосредственно в память устройства жертвы. Это означает, что хакеры могут:
- Избегать записи вредоносного кода на диск;
- Обходить меры безопасности, эффективно отслеживающие записи в файловой системе;
- Выполнять сценарии из памяти, что усложняет задачу для системы обнаружения вредоносного ПО.
Анализ скрипта Lumma Stealer
В рамках специального анализа был загружен образец скрипта Lumma Stealer в Malware Bazaar пользователем с ником JAMESWT_MHT. Переменные скрипта были переименованы для лучшего отражения их функций. В коде были выявлены две полезные нагрузки в кодировке Base64, однако они имели недостающие начальными символами «TV».
Для восстановления полных строк в кодировке Base64 недостающая часть была деобфускирована с помощью метода .replace() и добавлена к полезным нагрузкам. Скрипт использовал Reflective Loading для выполнения вредоносной полезной нагрузки в памяти, при этом динамический анализ подтвердил, что она выполнялась под видом законной утилиты RegSvcs.exe.
Идентификация и инструменты
Полезная нагрузка была идентифицирована как Lumma Stealer, замаскированная под RegSvcs.exe. Для извлечения конфигурации использовался Lumma Stealer configuration extractor, разработанный RussianPanda, совместимый с последними версиями Lumma Stealer и использующий ChaCha20 для шифрования C2.
Выводы и последствия
Этот анализ демонстрирует методы и инструменты, используемые хакерами для распространения вредоносного ПО Lumma Stealer. Знание таких тактик, как Reflective Loading, позволяет разработчикам систем безопасности более эффективно выявлять и предотвращать атаки, основываясь на глубоких анализах поведения вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



