Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Tabla de contenidos:
Lumma Stealer, un malware nefasto que roba información, resurge en el ámbito de amenazas cibernéticas. Los defensores descubrieron recientemente una campaña avanzada de adversarios que distribuye Lumma Stealer a través de la infraestructura de GitHub junto con otras variantes de malware, incluyendo SectopRAT, Vidar, y Cobeacon.
Detectar Lumma Stealer, SectopRAT, Vidar, Cobeacon desplegados a través de GitHub
Lumma Stealer es un infame malware que roba datos, extrayendo credenciales, billeteras de criptomonedas, detalles del sistema y archivos mientras se conecta a servidores adversarios para habilitar acciones maliciosas adicionales. La última campaña asociada con la entrega basada en GitHub de Lumma Stealer representa una amenaza creciente para las organizaciones potencialmente afectadas y los usuarios individuales debido a un conjunto de técnicas de evasión sofisticadas y capacidades ofensivas que involucran el despliegue de otros malware, como SectopRAT, Vidar y Cobeacon.
La Plataforma SOC Prime ofrece una lista curada de contenido de detección para ayudar a los equipos de seguridad a identificar intrusiones de manera oportuna y frustrar proactivamente amenazas relacionadas. Haga clic enExplorar Deteccionespara acceder a contenido SOC relevante alineado con el marco MITRE ATT&CK® y enriquecido con CTI procesable y metadatos comprensivos.
Los defensores también pueden seguir los enlaces correspondientes para obtener reglas Sigma adicionales para la detección de Lumma Stealer, SectopRAT, Vidar, y Cobeacon basadas en las etiquetas asociadas. Adicionalmente, los equipos de seguridad pueden explorar detecciones que aborden las TTPs usadas por Stargazer Goblin, el grupo cuyos patrones de comportamiento se superponen con los de los adversarios detrás de esta campaña.
Análisis de Lumma Stealer: Panorama de una Nueva Campaña de Malware Potencialmente Vinculada al Grupo Stargazer Goblin
El equipo de XDR gestionado de Trend Micro ha arrojado luz sobre una nueva campaña ofensiva sofisticada que involucra a Lumma Stealer. Los adversarios explotan GitHub como una plataforma confiable para distribuir el stealer, que luego desencadena acciones ofensivas adicionales. Los atacantes utilizan la infraestructura de GitHub para obtener acceso inicial, atrayendo a las víctimas para que descarguen archivos de URLs dañinas disfrazadas como seguras. Estos archivos exfiltran furtivamente datos sensibles y establecen conexiones con servidores C2 externos para ejecutar comandos mientras evaden la detección.
La campaña que engaña a los usuarios para que descarguen Lumma Stealer y otras cepas de malware también facilita el despliegue de herramientas ofensivas adicionales y está dirigida a crear varios directorios y preparar datos para la exfiltración. Para mantener la persistencia, los adversarios aprovechan scripts de PowerShell y comandos Shell.
Las TTPs del atacante observadas en esta campaña se alinean con aquellas previamente vinculadas al grupo Stargazer Goblin, conocido por usar sitios web comprometidos y GitHub para distribuir cargas útiles. La investigación ha revelado patrones de URL repetidos y el uso de sitios web legítimos pero comprometidos para redirigir a las víctimas al malware alojado en GitHub. La tendencia del grupo a experimentar con flujos de infección y su uso de diversas cargas útiles destacan la flexibilidad de los atacantes y sus tácticas en constante evolución.
La cadena de ataque comienza con archivos alojados en GitHub. Un usuario descargó Pictore.exe a través de Chrome, mientras que otro recuperó App_aeIGCY3g.exe, ambos almacenados temporalmente en la infraestructura de GitHub. Ambos archivos ejecutables armados parecen estar disfrazados como Lumma Stealer. Los archivos iniciales de Lumma Stealer despliegan y ejecutan amenazas adicionales, incluyendo SectopRAT, Vidar, Cobeacon, y otra variante de Lumma Stealer. Estos archivos fueron creados en carpetas con nombres al azar, probablemente generadas dinámicamente, dentro del directorio temporal antes de ser ejecutados. Un archivo descargado que contiene una iteración de Lumma Stealer recopila credenciales almacenadas, cookies de sesión, datos de autocompletar e historial de navegación. También deja caer un script de PowerShell ofuscado en el directorio temporal, que contacta dominios legítimos, probablemente como una comprobación de conectividad antes de recuperar cargas útiles adicionales o comandos del atacante.
Para mitigar amenazas cibernéticas como Lumma Stealer aprovechadas en esta campaña, se recomienda a las organizaciones que validen URLs y archivos antes de descargarlos, inspeccionen cuidadosamente los enlaces en correos electrónicos y los archivos adjuntos, y verifiquen los certificados digitales. Además, adoptar inteligencia de amenazas, parchear sistemas, habilitar MFA y aplicar un enfoque de confianza cero ayuda a minimizar la exposición a amenazas cibernéticas. Plataforma SOC Prime para la defensa cibernética colectiva equipa a las empresas, organizaciones centradas en MDR e investigadores individuales con un conjunto completo de productos para superar las amenazas cibernéticas avanzadas, incluyendo variantes de malware emergentes y herramientas ofensivas en constante evolución, mientras ayuda a los equipos SOC a construir una postura de ciberseguridad robusta.
