Lumma Stealer Malware-Erkennung: Hacker missbrauchen YouTube-Kanäle zur Verbreitung einer Malware-Variante
Inhaltsverzeichnis:
Aktuelle Cybersicherheitsberichte enthüllen eine Reihe von Angriffen, bei denen Hacker YouTube-Kanäle nutzen, um die Lumma-Malware-Variante zu verbreiten. Der bösartige Lumma-Stamm, der zum Stehlen sensibler Daten entwickelt wurde, steht seit 2022 im Rampenlicht, wird von Gegnern auf Hacking-Websites aktiv beworben und durchläuft kontinuierlich mehrere Aktualisierungen und Verbesserungen.
Dieser Blogartikel bietet Einblicke in die Analyse des Lumma Stealers und stellt eine Liste relevanter Erkennungsalgorithmen bereit, um Verteidigern zu helfen, Angriffe mit der berüchtigten Malware zu vermeiden.
Lumma Stealer Malware erkennen
Jeden Tag decken Cybersicherheitsexperten auf ungefähr 560.000 neue Malware-Instanzen auf, was zum bestehenden Pool von über 1 Milliarde schädlicher Software-Programme beiträgt. Mit einer ständig wachsenden Bedrohung durch Cyberkriminelle benötigen Organisationen zuverlässige Werkzeuge, um proaktiv das Risiko eines Angriffs zu identifizieren und rechtzeitig zu verteidigen.
Um bösartige Aktivitäten im Zusammenhang mit der neuesten Lumma Stealer-Kampagne zu erkennen, können Cyber-Verteidiger eine Sammlung kuratierter Erkennungsalgorithmen im SOC Prime Platform überprüfen. Alle Erkennungen werden von umfassenden Bedrohungsinformationen, Angriffsthemen und zusätzlicher Metadaten begleitet. Darüber hinaus sind alle Regeln mit 28 SIEM-, EDR-, XDR- und Data Lake-Lösungen kompatibel und mit dem MITRE ATT&CK-Framework v14 verknüpft. Drücken Sie einfach den Detektionen erkunden Knopf unten und tauchen Sie in das Regelset ein, das im Threat Detection Marketplace von SOC Prime aggregiert ist Threat Detection Marketplace.
Außerdem könnten IT-Sicherheitsexperten, um tiefer in den Kontext einzutauchen und Angriffe im Zusammenhang mit der Lumma-Malwareaktivität zu erkennen, den dedizierten Erkennungsstack erforschen, der auf der SOC Prime Platform mit “lummastealer” und “lumma” Tags verfügbar ist.
Lumma Stealer Malware-Analyse
Am 8. Januar 2024 veröffentlichte FortiGuard Labs eine Forschung über die neueste Kampagne der Lumma Stealer-Pfleger. Gegner nutzen YouTube-Kanäle für die Verteilung von Lumma-Malware. Ähnliche gegnerische Muster wurden auch im frühen Frühjahr 2023 entdeckt.
YouTube-Videos könnten verwendet werden, um Malware zu verbreiten, indem schädliche URLs eingebettet werden, die häufig über beliebte Dienste wie TinyURL und Cuttly verkürzt werden. Inhalte zu geknackter Software anzubieten, ermöglicht es Angreifern, Videos hochzuladen, die vorgeben, geknackte Anwendungen zu teilen.
Lumma Stealer, eine in C geschriebene Malware, zielt hauptsächlich auf Systemdaten, Kryptowährungs-Wallets, Browser und Browser-Add-ons ab. Lumma Stealer setzt eine Reihe von Verschleierungstechniken ein, um der Erkennung zu entgehen. Die Malware stellt die Kommunikation mit einem C2-Server her, was den Austausch von Anweisungen und die Übertragung gestohlener Daten ermöglicht. Seit 2022 wird Lumma Stealer in Hacking-Foren und über Telegram vermarktet, mit einer Aufzeichnung von über einem Dutzend erkannter C2-Server im Betrieb und verbessert durch eine Reihe von Malware-Updates.
In der Anfangsphase des Angriffs kompromittieren die Angreifer ein YouTube-Benutzerkonto, um Videos zu veröffentlichen, die sich als Sharing von geknackter Software ausgeben. Die Videobeschreibungen enthalten eine schädliche URL, die Opfer verleitet, eine ZIP-Datei mit bösartigem Inhalt herunterzuladen. Bemerkenswert ist, dass das waffenfähige Archiv kontinuierlich aktualisiert wird, was die Wirksamkeit dieser gegnerischen Methode zur Verbreitung von Malware zeigt. Das Letztere besteht aus einer LNK-Datei, die PowerShell auslöst, um eine .NET-Ausführungsdatei von GitHub herunterzuladen. Ein ausgefeilter .NET-Loader ist mit Umgebungskontrollen, mehreren Anti-Virtual-Machine- und Anti-Debugging-Fähigkeiten angereichert. Dadurch verbreitet sich ein bösartiger Loader als finale Nutzlast auf den betroffenen Instanzen.
Als potenzielle Minderungsmaßnahmen gegen Lumma-Malware empfehlen Verteidiger, stets wachsam zu bleiben, wenn sie mit verdächtigen Anwendungsquellen zu tun haben, und immer nur auf legitime Software aus vertrauenswürdigen und sicheren Quellen zu setzen.
Mit Uncoder IO, einer Open-Source-IDE für Detection Engineering, können Sicherheitsteams das IOC-Matching rationalisieren, indem sie automatisch benutzerdefinierte IOC-Abfragen aus relevanten Threat-Intel-Quellen erstellen, um Bedrohungen innerhalb von Sekunden zu suchen.
