Detección de Malware Lumma Stealer: Hackers Abusan de Canales de YouTube para Diseminar una Variante de Malware
Tabla de contenidos:
Informes recientes de ciberseguridad revelan una serie de ataques en los que los hackers aprovechan los canales de YouTube para difundir la variante de malware Lumma. La cepa maliciosa Lumma, diseñada para robar datos sensibles, ha estado en el centro de atención desde 2022, promovida activamente por adversarios en sitios web de piratería y sometida continuamente a múltiples actualizaciones y mejoras.
Este artículo del blog proporciona ideas sobre el análisis de Lumma Stealer y ofrece una lista de algoritmos de detección relevantes para ayudar a los defensores a prevenir ataques que difunden las infames iteraciones de malware.
Detectar el Malware Lumma Stealer
Cada día, los expertos en ciberseguridad descubren aproximadamente 560,000 nuevas instancias de malware, contribuyendo al ya existente conjunto de más de 1,000 millones de programas de software malicioso. Con una amenaza en constante crecimiento por parte de los ciberdelincuentes, las organizaciones requieren herramientas confiables para identificar proactivamente el riesgo de ataque y defenderse a tiempo.
Para detectar actividad maliciosa asociada con la última campaña de Lumma Stealer, los defensores cibernéticos pueden consultar una colección de algoritmos de detección curados, listados en la plataforma SOC Prime. Todas las detecciones están acompañadas de inteligencia de amenazas extensa, cronogramas de ataque y metadatos adicionales. Además, todas las reglas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco MITRE ATT&CK v14. Simplemente pulse el Explorar Detecciones botón a continuación y profundice en el conjunto de reglas agregado en el Mercado de Detección de Amenazas.
de SOC Prime. Además, para profundizar en el contexto y detectar ataques relacionados con la actividad del malware Lumma, los profesionales de ciberseguridad pueden explorar el conjunto de detección dedicado disponible en la plataforma SOC Prime mediante las etiquetas “lummastealer” y “lumma”.
Análisis del Malware Lumma Stealer
El 8 de enero de 2024, FortiGuard Labs publicó una investigación sobre la última campaña realizada por los mantenedores de Lumma Stealer. Los adversarios explotan los canales de YouTube para la distribución del malware Lumma. Se encontraron patrones similares de adversarios a principios de la primavera de 2023.
Los videos de YouTube pueden ser utilizados para difundir malware al incrustar URL dañinas, frecuentemente acortadas a través de servicios populares como TinyURL y Cuttly. Proporcionar contenido relacionado con software pirateado puede darles a los atacantes luz verde para subir videos disfrazados compartiendo aplicaciones crackeadas.
Lumma Stealer, un malware basado en C, apunta principalmente a datos del sistema, carteras de criptomonedas, navegadores y complementos de navegadores. Lumma Stealer emplea un conjunto de técnicas de ofuscación para evadir la detección. El malware establece comunicación con un servidor C2, permitiendo el intercambio de instrucciones y la transmisión de datos robados. Desde 2022, Lumma Stealer ha sido comercializado en los foros de piratería y a través de Telegram, presentando un registro de más de una docena de servidores C2 detectados en funcionamiento y mejorados mediante una serie de actualizaciones de malware.
En la etapa inicial del ataque, los atacantes comprometen una cuenta de usuario de YouTube para publicar videos disfrazados de compartir software crackeado. Las descripciones de los videos contienen una URL dañina, atrayendo a las víctimas a descargar un archivo ZIP con contenido malicioso. Notablemente, el archivo de almacenamiento armado se actualiza de manera consistente, mostrando la efectividad de este método adversario para distribuir malware. Este último comprende un archivo LNK que activa PowerShell para descargar un archivo de ejecución .NET desde GitHub. Un cargador .NET sofisticado se enriquece con verificaciones de entorno, múltiples capacidades anti-máquinas virtuales y anti-depuración. Como resultado, un cargador malicioso esparce Lumma Stealer como la carga final en las instancias afectadas.
Como medidas potenciales de mitigación contra el malware Lumma, se recomienda a los defensores mantenerse vigilantes continuamente al tratar con fuentes de aplicaciones sospechosas y siempre confiar únicamente en software legítimo de fuentes confiables y seguras.
Aprovechando Uncoder IO, un IDE de código abierto para ingeniería de detección, los equipos de seguridad pueden agilizar la coincidencia de IOC generando automáticamente consultas IOC personalizadas a partir de fuentes de inteligencia de amenazas relevantes para buscar amenazas en cuestión de segundos.
