- Malware Lumma Stether隱藏在一個假高級高級網站中,而無需單擊用戶
- 可執行可執行文件完全使用
- 惡意軟件鏈接到真實電報服務器,同時將數據秘密地偷走到隱藏區域
一項惡意活動旨在通過欺詐性電報高級網站用戶提供惡意Lumma盜竊軟件的危險變體。
來自的報告 塔 他聲稱,域TelegrampRemium(。)應用程序正在密切模仿Premium Telegram Premium的法定品牌,並託管了一個名為start.exe的文件。
此可執行的,構建的-in C/C ++在訪問站點時會自動上傳,而無需用戶交互。
仔細觀察惡意軟件的拖延
執行後,它收集了敏感數據,包括瀏覽器的存儲憑證,錢包的詳細信息和系統信息,從而增加了諸如身份盜用之類的風險。
錯誤的網站充當逐局的機制,這種方法將在未經明確同意的情況下自動交付惡意有益負載。
可執行文件的高熵表明辭職使用CIPH,這使得傳統的檢測變得複雜 安全套房。
靜態分析表明,惡意軟件引入了許多Windows API功能,允許其處理文件,修改寄存器,訪問剪貼板,執行其他有益的負載並避免檢測。
惡意軟件還通過Google的公共DNS服務器啟動DNS問題,繞過網絡控件。
它與電報和蒸汽社區等兩項法律服務進行了溝通,以獲取潛在的命令和控件,並與生產的算法進行了交流,以避免該行業的停火。
這些技術使惡意軟件能夠保持通信渠道,同時避免保護牆檢測和常規監視工具。
涉及的區域最近已註冊,託管功能表明它是針對短暫的,有針對性的活動創建的。
惡意軟件減少了%temp%目錄中的多個變相文件,包括偽裝成圖像的加密有益負載。
後來有些被重命名並執行為粘附場景,使惡意軟件可以清潔其痕跡。
它使用諸如睡眠之類的功能來延遲執行和LoadLibraryExw來加載DLL秘密,從而使分析師在初始檢查期間更難檢測其存在。
避免這種威脅,需要對用戶的技術措施和意識結合。
如何保持安全
- 組織必須適用 端 – 點檢測和響應解決方案,能夠檢測與Lumma行業相關的可疑行為模式
- 阻止所有進入惡意區域的機會
- 施加嚴格的接收元素,以防止輸送有用的負載
- 如果憑據處於危險狀態,則必須進行多因素身份驗證以限制損壞
- 定期旋轉證書有助於降低攻擊者長期訪問的風險
- 持續監視可疑活動可以更快地檢測和響應可能的違規行為
