Вредоносное ПО Lumma Infostealer стало серьёзной киберугрозой, похищая важные данные с систем Windows. Эта угроза распространяется через Malware-as-a-Service, что позволяет малоопытным атакующим проводить кампании по краже данных.
Обзор новых угроз: Как Lumma крадёт данные
Распределение и выполнение
Lumma часто маскируется под взломанное программное обеспечение, размещённое на платформах вроде MEGA. Установщик, созданный с помощью Nullsoft Scriptable Install System (NSIS), извлекает полезную нагрузку в директорию %Temp% и запускает ложный документ через cmd.exe. Этот документ активирует команды, которые используют AutoIt-скрипт для развертывания зашифрованной основы Lumma.
Технические методы и сбор данных
Для маскировки деятельности, загрузчик AutoIt использует инъекцию шеллкода и процесс-холловинг. Вредоносные процессы Lumma связываются с серверами злоумышленников, например, rhussois[.]su и diadtuky[.]su, собирают данные браузеров, Telegram, настройки удалённого доступа и криптовалютные кошельки, а затем пересылают их на серверы команд и управления.
Избегание обнаружения и модули
Lumma проверяет запущенные процессы и деактивирует свои функции при обнаружении антивирусных программ, таких как Sophos или Bitdefender. Благодаря модульности и частым обновлениям сложность обнаружения увеличивается. Для противодействия нужны поведенческие EDR-системы, отслеживающие цепочки команд и обогащение процессов.
