Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il report descrive una catena di infezione in due fasi in cui Lumma Stealer viene inizialmente distribuito tramite un archivio 7-Zip protetto da password, seguita dal caricamento di un Sectop RAT (ArechClient2) DLL in una fase successiva. Il primo payload arriva come un eseguibile Windows espanso, imbottito con byte nulli, una tattica probabilmente concepita per eludere il rilevamento e complicare l’analisi. Il malware viene distribuito tramite pagine di download compromesse che imitano servizi legittimi, aumentando la probabilità di esecuzione da parte degli utenti. La telemetria di rete ha collegato l’attività a diversi domini malevoli e un noto indirizzo IP utilizzato per le comunicazioni di comando e controllo.
Indagine
L’analista ha ottenuto l’archivio malevolo, estratto l’eseguibile sovradimensionato e esaminato la sua forma ridotta dopo la deflazione. L’analisi in sandbox ha rivelato diversi domini di comando e controllo associati a Lumma Stealer, insieme a un componente DLL separato che caricava Sectop RAT tramite rundll32. Le acquisizioni di rete hanno anche mostrato traffico HTTP verso un indirizzo IP malevolo sulle porte 9000 e 443, con i dati scambiati che sembrano essere codificati.
Mitigazione
Le organizzazioni dovrebbero utilizzare strumenti di ispezione dei contenuti capaci di identificare eseguibili espansi e archivi protetti da password. I domini malevoli noti e gli indirizzi IP legati alla campagna devono essere bloccati a livello di rete. I difensori dovrebbero anche monitorare per attività sospette rundll32 che coinvolgono DLL inaspettate e tracciare le connessioni in uscita verso l’infrastruttura di comando e controllo identificata. Controlli robusti sui download e restrizioni sui siti di condivisione file che ospitano software craccato o non affidabile possono ulteriormente ridurre l’esposizione.
Risposta
I team di sicurezza dovrebbero lanciare un allarme quando archivi 7-Zip protetti da password vengono scaricati da URL sospetti. Ulteriori rilevamenti dovrebbero concentrarsi sull’esecuzione di eseguibili imbottiti insolitamente grandi e rundll32 avvio di DLL da directory temporanee o accessibili agli utenti. La telemetria di rete dovrebbe essere correlata ai domini e indirizzi IP elencati, e qualsiasi sistema interessato deve essere immediatamente isolato per l’indagine e la risoluzione.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["<b>Tecnica</b> – <b>T1659 Iniezione di Contenuti</b><br/>Compromettere siti web per iniettare risorse malevoli come link di download."] class technique_content_injection technique tool_lumma_stealer["<b>Strumento</b> – <b>Nome</b>: Lumma Stealer<br/><b>Funzione</b>: Raccoglie password memorizzate ed entrate del gestore credenziali."] class tool_lumma_stealer tool technique_obfuscation_files["<b>Tecnica</b> – <b>T1027 File o Informazioni Offuscate</b><br/>Codifica o cifra payloads per nascondere contenuti malevoli."] class technique_obfuscation_files technique technique_compression["<b>Tecnica</b> – <b>T1027.015 Archiviazione tramite Utility</b><br/>Usa un archivio 7-zip protetto da password per nascondere il payload."] class technique_compression technique technique_credential_store["<b>Tecnica</b> – <b>T1555 Credenziali dai Magazzini di Password</b><br/>Estrazione delle credenziali salvate nei browser, app, o magazzini di OS."] class technique_credential_store technique technique_credential_manager["<b>Tecnica</b> – <b>T1555.004 Gestore delle Credenziali di Windows</b><br/>Estrazione delle credenziali memorizzate nel Gestore delle Credenziali di Windows."] class technique_credential_manager technique technique_unsecured_file["<b>Tecnica</b> – <b>T1552.001 Credenziali Non Sicure nei File</b><br/>Lettura dei dati delle credenziali lasciati in file di testo semplice."] class technique_unsecured_file technique technique_rundll32_proxy["<b>Tecnica</b> – <b>T1218.011 Rundll32</b><br/>Esegui codice DLL tramite rundll32.exe con entrypoint LoadForm."] class technique_rundll32_proxy technique technique_appcert_dll["<b>Tecnica</b> – <b>T1546.009 DLL AppCert</b><br/>Attivazione del caricamento DLL tramite il meccanismo di Certificazione dell’Applicazione."] class technique_appcert_dll technique malware_netgui_dll["<b>Malware</b> – <b>Nome</b>: NetGui.dll<br/><b>Ruolo</b>: DLL rilasciata caricata da rundll32."] class malware_netgui_dll malware technique_web_protocol["<b>Tecnica</b> – <b>T1071.001 Protocolli Web</b><br/>Usa HTTP/HTTPS per il traffico di comando e controllo."] class technique_web_protocol technique technique_bidirectional["<b>Tecnica</b> – <b>T1102.002 Servizio Web Bidirezionale</b><br/>Scambia comandi e dati attraverso un canale di servizio web."] class technique_bidirectional technique technique_encrypted_channel["<b>Tecnica</b> – <b>T1573 Canale Cifrato</b><br/>Cifra il traffico C2 per sfuggire al rilevamento."] class technique_encrypted_channel technique technique_protocol_tunneling["<b>Tecnica</b> – <b>T1572 Tunneling di Protocollo</b><br/>Incorporare traffico malevolo all’interno di protocolli legittimi."] class technique_protocol_tunneling technique technique_data_obfuscation["<b>Tecnica</b> – <b>T1001 Offuscamento dei Dati</b><br/>Offuscare i dati del payload per nascondere lo scopo."] class technique_data_obfuscation technique %% Connections technique_content_injection –>|utilizza| tool_lumma_stealer tool_lumma_stealer –>|consegna| technique_obfuscation_files technique_obfuscation_files –>|include| technique_compression technique_compression –>|porta a| technique_credential_store technique_credential_store –>|utilizza anche| technique_credential_manager technique_credential_manager –>|e| technique_unsecured_file technique_unsecured_file –>|abilita| technique_rundll32_proxy technique_rundll32_proxy –>|carica| malware_netgui_dll malware_netgui_dll –>|attiva| technique_appcert_dll technique_appcert_dll –>|stabilisce| technique_web_protocol technique_web_protocol –>|utilizza| technique_bidirectional technique_bidirectional –>|protetto da| technique_encrypted_channel technique_encrypted_channel –>|nascosto ulteriormente tramite| technique_protocol_tunneling technique_protocol_tunneling –>|utilizza| technique_data_obfuscation "
Flusso d’Attacco
Rilevamenti
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Esecuzione Sospetta del Percorso Rundll32 Dll (via process_creation)
Visualizza
Attività Pianificata Sospetta (via audit)
Visualizza
Comando e Controllo Sospetto da Richiesta DNS di Dominio di Livello Superiore (TLD) Insolito (via dns)
Visualizza
IOC (HashSha256) per rilevare: infezione Lumma Stealer con Sectop RAT (ArechClient2)
Visualizza
IOC (SourceIP) per rilevare: infezione Lumma Stealer con Sectop RAT (ArechClient2)
Visualizza
IOC (DestinationIP) per rilevare: infezione Lumma Stealer con Sectop RAT (ArechClient2)
Visualizza
Rilevamento del Traffico di Comando e Controllo Sectop RAT [Connessione di Rete Windows]
Visualizza
Rilevamento di Infezione Lumma Stealer e Sectop RAT (ArechClient2) [Evento di File Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo pre-volo Telemetria e Baseline deve essere passato.
-
Attacco Narrativo e Comandi:
L’attaccante simulato ottiene prima l’archivio Lumma Stealer (adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z) da un sito di download compromesso. L’archivio viene inserito nella cartella Download dell’utente, quindi estratto, scrivendo la DLL malevola16XBPQ29ZBG94TYNOA.dllnella directory Temp dell’utente. La presenza di questa DLL è l’indicatore esatto che la regola Sigma osserva, rappresentando la fase del payload che abilita la raccolta delle credenziali per la successiva infezione Sectop RAT. -
Script di Test di Regressione:
# Simula drop Lumma Stealer e iniezione DLL $archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" $downloadDir = "$env:USERPROFILEDownloads" $tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" # Step 1: Crea un file di archivio dummy (simulazione del download) New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null # Step 2: Simula l'estrazione – crea la DLL malevola nella cartella Temp New-Item -Path $tempDllPath -ItemType File -Force | Out-Null Write-Host "Simulazione completa: $archiveName creato e DLL inserita nel Temp." -
Comandi di Pulizia:
# Rimuovi artefatti simulati Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completa."