Rilevamento del malware Lumma Stealer: Gli hacker sfruttano i canali YouTube per diffondere una variante di malware
Indice:
Recenti rapporti sulla sicurezza informatica rivelano una serie di attacchi in cui gli hacker sfruttano i canali YouTube per diffondere la variante di malware Lumma. Lo strain malevolo Lumma, progettato per rubare dati sensibili, è al centro dell’attenzione dal 2022, promosso attivamente dagli avversari su siti di hacking e sottoposto continuamente a numerosi aggiornamenti e miglioramenti.
Questo articolo del blog fornisce un’analisi approfondita di Lumma Stealer e propone un elenco di algoritmi di rilevamento pertinenti per aiutare i difensori a prevenire attacchi che diffondono le famigerate iterazioni del malware.
Rilevamento del malware Lumma Stealer
Ogni giorno, esperti di sicurezza informatica scoprono circa 560.000 nuovi casi di malware, contribuendo al pool esistente di oltre 1 miliardo di programmi software malevoli. Con una minaccia in costante aumento posta dai cybercriminali, le organizzazioni necessitano di strumenti affidabili per identificare proattivamente il rischio di attacco e difendersi in tempo.
Per rilevare attività malevole associate alla più recente campagna di Lumna Stealer, i difensori informatici possono consultare una raccolta di algoritmi di rilevamento curati elencati nella piattaforma SOC Prime. Tutti i rilevamenti sono accompagnati da un’ampia intelligence sulle minacce, cronologie degli attacchi e metadati aggiuntivi. Inoltre, tutte le regole sono compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake e mappate al framework MITRE ATT&CK v14. Basta fare clic su Esplora rilevamenti pulsante qui sotto e approfondire il set di regole aggregato nel Marketplace di Threat Detection di SOC Prime.
Inoltre, per approfondire il contesto e rilevare attacchi correlati all’attività del malware Lumma, i professionisti della sicurezza informatica possono esplorare lo stack di rilevamento dedicato disponibile sulla piattaforma SOC Prime tramite i tag “lummastealer” e “lumma”.
Analisi del malware Lumma Stealer
L’8 gennaio 2024, FortiGuard Labs ha pubblicato una ricerca sull’ultima campagna portata avanti dai manutentori di Lumma Stealer. Gli avversari sfruttano i canali YouTube per la distribuzione del malware Lumma. Modelli simili di avversari sono stati scoperti anche nella primavera del 2023.
I video di YouTube potrebbero essere utilizzati per diffondere malware incorporando URL dannosi, spesso abbreviati tramite servizi popolari come TinyURL e Cuttly. Fornire contenuti correlati a software piratati può dare agli attaccanti il via libera per caricare video travestiti da condivisione di applicazioni piratate.
Lumma Stealer, un malware basato su C, prende di mira principalmente dati di sistema, portafogli di criptovalute, browser e componenti aggiuntivi del browser. Lumma Stealer impiega un insieme di tecniche di offuscamento per eludere il rilevamento. Il malware stabilisce comunicazione con un server C2, consentendo lo scambio di istruzioni e la trasmissione di dati rubati. Dal 2022, Lumma Stealer è stato commercializzato nei forum di hacking e tramite Telegram, mostrando un record di oltre una dozzina di server C2 rilevati in attività e migliorato attraverso una serie di aggiornamenti del malware.
Nella fase iniziale dell’attacco, gli attaccanti compromettono un account utente di YouTube per pubblicare video che si spacciano per condivisione di software piratato. Le descrizioni dei video contengono un URL dannoso, attirando le vittime a scaricare un file ZIP con contenuti malevoli. Notoriamente, l’archivio armato viene costantemente aggiornato, dimostrando l’efficacia di questo metodo avversario nel distribuire malware. Quest’ultimo comprende un file LNK che attiva PowerShell per scaricare un file di esecuzione .NET da GitHub. Un carico malware .NET sofisticato è arricchito con controlli ambientali, molteplici capacità anti-macchina virtuale e anti-debug. Di conseguenza, un caricatore malevolo diffonde Lumma Stealer come payload finale sugli esempi coinvolti.
Come possibili misure di mitigazione del malware Lumma, i difensori raccomandano di rimanere costantemente vigili quando trattano fonti di applicazioni sospette e di affidarsi sempre solo a software legittimi di fonti sicure e affidabili.
Sfruttare Uncoder IO, un IDE open-source per l’ingegneria del rilevamento, i team di sicurezza possono ottimizzare il matching degli IOC generando automaticamente query IOC personalizzate da fonti di intelligence sulle minacce pertinenti per cercare minacce in pochi secondi.
