Détection du Malware Lumma Stealer : Les Hackers Exploitent les Chaînes YouTube pour Diffuser une Variante de Malware
Table des matières :
Les récents rapports de sécurité informatique dévoilent une série d’attaques dans lesquelles des hackers exploitent des chaînes YouTube pour diffuser la variante Lumma de logiciels malveillants. La souche malveillante Lumma, conçue pour voler des données sensibles, est sous les feux de la rampe depuis 2022, promue activement par des adversaires sur des sites de hacking et subissant continuellement de multiples mises à jour et améliorations.
Cet article de blog offre des perspectives sur l’analyse de Lumma Stealer et fournit une liste d’algorithmes de détection pertinents pour aider les défenseurs à anticiper les attaques diffusant les itérations notoires de logiciels malveillants.
Détecter le Malware Lumma Stealer
Chaque jour, les experts en cybersécurité découvrent environ 560 000 nouvelles instances de logiciels malveillants, contribuant au pool existant de plus d’un milliard de programmes malveillants. Face à une menace en constante croissance posée par les cybercriminels, les organisations ont besoin d’outils fiables pour identifier de manière proactive le risque d’attaque et se défendre à temps.
Pour détecter l’activité malveillante associée à la dernière campagne Lumma Stealer, les défenseurs du cyberespace peuvent consulter une collection d’algorithmes de détection sélectionnés répertoriés dans la plateforme SOC Prime. Toutes les détections sont accompagnées d’une vaste intelligence des menaces, de chronologies d’attaques et de métadonnées supplémentaires. De plus, toutes les règles sont compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake et sont mappées au framework MITRE ATT&CK v14. Il suffit de cliquer sur le Explorez les détections bouton ci-dessous et d’examiner l’ensemble des règles agrégées dans le Marché de Détection des Menaces de SOC Prime.
Également, pour approfondir le contexte et détecter les attaques liées à l’activité malveillante Lumma, les professionnels de la cybersécurité peuvent explorer la pile de détection dédiée disponible dans la plateforme SOC Prime via les balises “lummastealer” et “lumma”.
Analyse du Malware Lumma Stealer
Le 8 janvier 2024, FortiGuard Labs a publié une recherche sur la dernière campagne des mainteneurs de Lumma Stealer. Les adversaires exploitent les chaînes YouTube pour distribuer le malware Lumma. Des schémas d’adversaires similaires ont également été découverts au début du printemps 2023.
Les vidéos YouTube peuvent être utilisées pour diffuser des logiciels malveillants en incorporant des URL nuisibles, souvent raccourcies via des services populaires comme TinyURL et Cuttly. Fournir du contenu lié aux logiciels piratés peut donner le feu vert aux attaquants pour télécharger des vidéos déguisées en partage d’applications piratées.
Lumma Stealer, un malware basé sur C, cible principalement les données système, les portefeuilles de cryptomonnaies, les navigateurs, et les extensions de navigateur. Lumma Stealer emploie un ensemble de techniques d’obfuscation pour éviter la détection. Le logiciel malveillant établit une communication avec un serveur C2, permettant l’échange d’instructions et la transmission de données volées. Depuis 2022, Lumma Stealer est commercialisé sur les forums de hacking et via Telegram, avec un enregistrement de plus d’une douzaine de serveurs C2 détectés en activité et amélioré grâce à une série de mises à jour du malware.
Au stade initial de l’attaque, les attaquants compromettent un compte utilisateur YouTube pour publier des vidéos se faisant passer pour le partage de logiciels piratés. Les descriptions de vidéos contiennent une URL nuisible, attirant les victimes à télécharger un fichier ZIP avec du contenu malveillant. Notamment, l’archive armée est continuellement mise à jour, montrant l’efficacité de cette méthode d’adversaire pour diffuser des logiciels malveillants. Cette dernière comprend un fichier LNK qui déclenche PowerShell pour télécharger un fichier exécutable .NET depuis GitHub. Un chargeur sophistiqué .NET est enrichi de vérifications de l’environnement, de multiples capacités anti-machines virtuelles et anti-débogage. En conséquence, un chargeur malveillant diffuse Lumma Stealer comme charge finale sur les instances affectées.
Comme mesures potentielles d’atténuation du malware Lumma, les défenseurs recommandent de rester continuellement vigilants lorsqu’ils traitent avec des sources d’applications suspectes et de toujours compter uniquement sur des logiciels légitimes provenant de sources fiables et sécurisées.
En tirant parti de Uncoder IO, un IDE open-source pour l’ingénierie de détection, les équipes de sécurité peuvent rationaliser la correspondance des IOC en générant automatiquement des requêtes IOC personnalisées à partir de sources pertinentes d’intelligence des menaces pour rechercher des menaces en quelques secondes.
