Infecção com Lumma Stealer e Sectop RAT (ArechClient2)

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

Infecção com Lumma Stealer e Sectop RAT (ArechClient2)

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

O relatório descreve uma cadeia de infecção em duas etapas na qual o Lumma Stealer é inicialmente entregue por meio de um arquivo 7-Zip protegido por senha, seguido pelo carregamento de um Sectop RAT (ArechClient2) DLL em um estágio posterior. O primeiro payload chega como um executável do Windows inflado com bytes nulos, uma tática provavelmente destinada a evadir a detecção e complicar a análise. O malware é distribuído por meio de páginas de download comprometidas que imitam serviços legítimos, aumentando a probabilidade de execução pelo usuário. A telemetria de rede vinculou a atividade a vários domínios maliciosos e um endereço IP conhecido usado para comunicação de comando e controle.

Investigação

O analista obteve o arquivo malicioso, extraiu o executável superdimensionado e examinou sua forma reduzida após a desinflagem. A análise em sandbox revelou vários domínios de comando e controle associados ao Lumma Stealer, junto com um componente DLL separado que carregou o Sectop RAT por meio do rundll32. As capturas de rede também mostraram tráfego HTTP para um endereço IP malicioso sobre as portas 9000 e 443, com os dados trocados parecendo estar codificados.

Mitigação

As organizações devem usar ferramentas de inspeção de conteúdo capazes de identificar executáveis inflados e arquivos protegidos por senha. Domínios e endereços IP maliciosos conhecidos ligados à campanha devem ser bloqueados na camada de rede. Os defensores também devem monitorar atividades suspeitas envolvendo DLLs inesperadas e rastrear conexões de saída para a infraestrutura de comando e controle identificada. Controles fortes de download e restrições em sites de compartilhamento de arquivos que hospedam software crackeado ou não confiável podem reduzir ainda mais a exposição. rundll32 activity involving unexpected DLLs and track outbound connections to the identified command-and-control infrastructure. Strong download controls and restrictions on file-sharing sites hosting cracked or untrusted software can further reduce exposure.

Resposta

As equipes de segurança devem alertar quando arquivos 7-Zip protegidos por senha forem baixados de URLs suspeitos. Detecções adicionais devem se concentrar na execução de executáveis excessivamente grandes e rundll32 no lançamento de DLLs a partir de diretórios temporários ou acessíveis ao usuário. A telemetria de rede deve ser correlacionada aos domínios e endereços IP listados, e quaisquer sistemas afetados devem ser imediatamente colocados em quarentena para investigação e remediação.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["Técnica – T1659 Injeção de Conteúdo Comprometer sites para injetar recursos maliciosos, como links de download."] class technique_content_injection technique tool_lumma_stealer["Ferramenta – Nome: Lumma Stealer Função: Coleta senhas armazenadas e entradas do gerenciador de credenciais."] class tool_lumma_stealer tool technique_obfuscation_files["Técnica – T1027 Arquivos ou Informações Ofuscados Codificar ou criptografar payloads para esconder conteúdo malicioso."] class technique_obfuscation_files technique technique_compression["Técnica – T1027.015 Arquivo via Utilitário Usar arquivo 7u2011zip protegido por senha para ocultar payload."] class technique_compression technique technique_credential_store["Técnica – T1555 Credenciais de Armazenamento de Senhas Extrair credenciais salvas em navegadores, apps ou armazenamentos do SO."] class technique_credential_store technique technique_credential_manager["Técnica – T1555.004 Gerenciador de Credenciais do Windows Despejar credenciais armazenadas no Gerenciador de Credenciais do Windows."] class technique_credential_manager technique technique_unsecured_file["Técnica – T1552.001 Credenciais Não Seguras em Arquivos Ler dados de credenciais deixados em arquivos de texto puro."] class technique_unsecured_file technique technique_rundll32_proxy["Técnica – T1218.011 Rundll32 Executar código DLL via rundll32.exe com ponto de entrada LoadForm."] class technique_rundll32_proxy technique technique_appcert_dll["Técnica – T1546.009 AppCert DLL Acionar carregamento de DLL pelo mecanismo de Certificação de Aplicativos."] class technique_appcert_dll technique malware_netgui_dll["Malware – Nome: NetGui.dll Função: DLL descarregada carregada por rundll32."] class malware_netgui_dll malware technique_web_protocol["Técnica – T1071.001 Protocolos Web Usar HTTP/HTTPS para tráfego de comando e controle."] class technique_web_protocol technique technique_bidirectional["Técnica – T1102.002 Serviço Web Bidirecional Trocar comandos e dados por meio de um canal de serviço web."] class technique_bidirectional technique technique_encrypted_channel["Técnica – T1573 Canal Criptografado Criptografar tráfego C2 para evadir a detecção."] class technique_encrypted_channel technique technique_protocol_tunneling["Técnica – T1572 Tunelamento de Protocolo Encapsular tráfego malicioso dentro de protocolos legítimos."] class technique_protocol_tunneling technique technique_data_obfuscation["Técnica – T1001 Ofuscação de Dados Ofuscar dados do payload para esconder seu propósito."] class technique_data_obfuscation technique %% Connections technique_content_injection –>|usa| tool_lumma_stealer tool_lumma_stealer –>|entrega| technique_obfuscation_files technique_obfuscation_files –>|inclui| technique_compression technique_compression –>|leva a| technique_credential_store technique_credential_store –>|também usa| technique_credential_manager technique_credential_manager –>|e| technique_unsecured_file technique_unsecured_file –>|permite| technique_rundll32_proxy technique_rundll32_proxy –>|carrega| malware_netgui_dll malware_netgui_dll –>|aciona| technique_appcert_dll technique_appcert_dll –>|estabelece| technique_web_protocol technique_web_protocol –>|usa| technique_bidirectional technique_bidirectional –>|protegido por| technique_encrypted_channel technique_encrypted_channel –>|ainda mais oculto por| technique_protocol_tunneling technique_protocol_tunneling –>|usa| technique_data_obfuscation "

Fluxo de Ataque

# Simular queda do Lumma Stealer e injeção de DLL
$archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z"
$downloadDir = "$env:USERPROFILEDownloads"
$tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll"

# Passo 1: Criar um arquivo de arquivo fictício (simulando o download)
New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null

# Passo 2: Simular extração – criar a DLL maliciosa na pasta Temp
New-Item -Path $tempDllPath -ItemType File -Force | Out-Null

Write-Host "Simulação completa: $archiveName criado e DLL inserido no Temp."

Comandos de Limpeza:

# Remover artefatos simulados
Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue
Write-Host "Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente