Malvér Lumma Stealer sa skrýva na falošnej stránke Telegram Premium, spúšťa sa bez kliknutí používateľa. Spustiteľný súbor používa kryptorovú ofuskáciu na úplné obídenie väčšiny tradičných techník antivírusového skenovania. Malvér sa pripája k reálnym serverom Telegramu a súčasne tajne odosiela ukradnuté dáta do skrytých domén.
Záškodnícka kampaň cieli na používateľov prostredníctvom podvodnej webovej stránky Telegram Premium, ktorá šíri nebezpečný variant malvéru Lumma Stealer.
Správa od spoločnosti Cyfirma tvrdí, že doména telegrampremium[.]app veľmi pripomína legitímnu značku Telegram Premium a hostí súbor s názvom start.exe.
Tento spustiteľný súbor, vytvorený v C/C++, sa automaticky stiahne pri návšteve stránky, bez potreby interakcie používateľa.
Po spustení získava citlivé údaje vrátane prihlasovacích údajov uložených v prehliadači, podrobností o kryptomenových peňaženkách a informácií o systéme, čím zvyšuje riziká, ako je krádež identity.
Falošná stránka funguje ako mechanizmus drive-by download, metóda, pri ktorej sa záškodnícke užitočné zaťaženia doručujú automaticky bez výslovného súhlasu.
Vysoká entropia spustiteľného súboru naznačuje použitie kryptoru na ofuskáciu, čo komplikuje detekciu tradičnými bezpečnostnými balíkmi.
Statická <a href="https://seo-consulting.sk/“ title=“analýza“>analýza ukazuje, že malvér importuje množstvo funkcií Windows API, čo mu umožňuje manipulovať so súbormi, upravovať register, pristupovať do schránky, spúšťať ďalšie užitočné zaťaženia a vyhýbať sa detekcii.
Malvér tiež spúšťa DNS dotazy prostredníctvom verejného DNS servera Google, čím obchádza interné sieťové kontroly.
Komunikuje s legitímnymi službami ako Telegram a Steam Community pre možné účely riadenia a kontroly a s algoritmicky generovanými doménami, aby sa vyhol zrušeniu domén.
Tieto techniky umožňujú malvéru udržiavať komunikačné kanály a zároveň sa vyhnúť detekcii firewallmi a konvenčnými monitorovacími nástrojmi.
Dotknutá doména je novo zaregistrovaná, pričom charakteristiky hostingu naznačujú, že bola nastavená pre krátkodobú, cielenú aktivitu.
Malvér umiestňuje viacero maskovaných súborov do adresára %TEMP%, vrátane šifrovaných užitočných zaťažení maskovaných ako obrazové súbory.
Niektoré sú neskôr premenované a spustené ako ofuskované skripty, čo umožňuje malvéru zamaskovať svoje stopy.
Používa funkcie ako Sleep na oneskorenie vykonávania a LoadLibraryExW na skryté načítanie DLL, čo analytikom sťažuje detekciu jeho prítomnosti počas počiatočnej kontroly.
Ochrana pred hrozbami tohto druhu si vyžaduje kombináciu technických opatrení a povedomia používateľov.
Ako zostať v bezpečí:
Organizácie by mali implementovať riešenia detekcie a odozvy koncových bodov, ktoré sú schopné identifikovať podozrivé vzorce správania spojené s Lumma Stealer, blokovať všetok prístup k záškodníckym doménam, presadzovať prísne kontroly sťahovania, aby sa zabránilo doručovaniu užitočného zaťaženia, viacfaktorové overenie je nevyhnutné na obmedzenie škôd v prípade kompromitácie prihlasovacích údajov, pravidelná obmena prihlasovacích údajov pomáha znižovať riziko dlhodobého prístupu útočníkov, nepretržité monitorovanie podozrivej aktivity umožňuje rýchlejšiu detekciu a reakciu na potenciálne narušenia.
