Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
LummaStealer é um infostealer que ressurgiu após uma grande operação de aplicação da lei em 2025. A atividade recente muda para CastleLoader, um loader baseado em script que entrega o LummaStealer através de iscas de engenharia social, como software “cracked” falso e páginas de CAPTCHA falsificadas. A cadeia enfatiza a execução na memória, ofuscação agressiva e infraestrutura compartilhada entre as duas famílias de malware. Os defensores podem priorizar a caça por comportamento DNS incomum, AutoIt traços de execução, e padrões comuns de persistência.
Investigação
Pesquisadores da Bitdefender analisaram novas amostras e confirmaram CastleLoader como o principal mecanismo de entrega do LummaStealer. Escrito em AutoIt, o loader realiza verificações de sandbox, estabelece persistência em Local AppData, e gera um sinal de rede distinto através de repetidas consultas DNS falhas. Os analistas também notaram sobreposição de infraestrutura com serviços vinculados a GrayBravo. Strings relevantes de linha de comando e trechos de código foram extraídos para dar suporte ao desenvolvimento de regras de detecção.
Mitigação
Reduza a exposição bloqueando downloads de software cracked, instaladores de jogos, e outros pacotes de mídia não confiáveis. Previna ou controle estritamente a execução de AutoIt scripts desconhecidos, e monitore a criação de arquivos sob caminhos com nome CraftStitch Studios Inc. Implemente MFA e gire credenciais após suspeita de comprometimento. Aplique controles de rede para sinalizar ou bloquear as características falhas de buscas DNS e a infraestrutura IP maliciosa associada.
Resposta
Se artefatos do CastleLoader ou LummaStealer forem encontrados, isole o host, interrompa AutoIt processos suspeitos e remova artefatos de persistência de %LocalAppData%CraftStitch Studios Inc. Preserve evidências coletando a carga útil dropada, telemetria de rede relevante, e quaisquer atalhos criados. Redefina credenciais expostas e invalide sessões de navegador ativas. Atualize detecções usando os IOCs extraídos para identificar hosts adicionais impactados.
"graph TB %% Definições de classe classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nós u2013 Acesso Inicial init_user_execution["<b>Ação</b> – <b>T1204 Execução de Usuário</b>: As vítimas executam software cracked falso ou instaladores de jogos/filmes.<br/><b>Descrição</b>: Execução de código malicioso pelo usuário."] class init_user_execution action init_mal_copy_paste["<b>Ação</b> – <b>T1204.004 Copiar e Colar Malicioso</b>: Usuários seguem instruções do CAPTCHA ClickFix para copiar e colar comandos maliciosos.<br/><b>Descrição</b>: O atacante guia a vítima para executar código controlado pelo atacante."] class init_mal_copy_paste action %% Nós u2013 Implantação do Loader loader_autoit["<b>Ferramenta</b> – <b>T1059.010 Interpretador AutoIt</b>: Script CastleLoader compilado.<br/><b>Descrição</b>: Executa código AutoIt fortemente ofuscado."] class loader_autoit tool obfuscation["<b>Ação</b> – <b>T1027.009 Payloads Embutidos</b>: Script AutoIt ofuscado esconde payload malicioso.<br/><b>Descrição</b>: Usa codificação e empacotamento para evitar análise."] class obfuscation action masquerading["<b>Ação</b> – <b>T1036 Disfarce</b>: Loader disfarçado como um instalador legítimo com extensões de software comuns.<br/><b>Descrição</b>: Parece benigno para o usuário e ferramentas de segurança."] class masquerading action %% Nós u2013 Persistência persistence_shortcut["<b>Ação</b> – <b>T1547.009 Modificação de Atalho</b>: Cria arquivos .lnk e .url na pasta Inicializar.<br/><b>Descrição</b>: Persiste sendo lançado no logon do usuário."] class persistence_shortcut action persistence_task["<b>Ação</b> – <b>T1053 Tarefa Agendada</b>: Script VBA registra uma tarefa agendada para execução repetida.<br/><b>Descrição</b>: Executa payload em intervalos definidos."] class persistence_task action persistence_init["<b>Ação</b> – <b>T1037 Scripts de Inicialização de Logon</b> e <b>T1547.014 Configuração Ativa</b>: Executa scripts durante o logon do usuário via chaves de registro.<br/><b>Descrição</b>: Assegura que o código será executado em cada login."] class persistence_init action hijack_execution["<b>Ação</b> – <b>T1574 Sequestro de Fluxo de Execução</b>: Carregamento reflexivo do payload malicioso na memória.<br/><b>Descrição</b>: Executa sem gravar arquivos no disco."] class hijack_execution action %% Nós u2013 Evasão de Defesa defense_virtual["<b>Ação</b> – <b>T1497 Evasão de Virtualização/Sandbox</b> e <b>T1497.002 Verificações de Atividade do Usuário</b>: Detecta ambiente de análise e aborta execução.<br/><b>Descrição</b>: Evita detecção de sandbox."] class defense_virtual action defense_reflective["<b>Ação</b> – <b>T1620 Carregamento de Código Reflexivo</b>: Carrega código via reflexão para esconder atividade.<br/><b>Descrição</b>: Evita ferramentas de análise estática."] class defense_reflective action %% Nós u2013 Comando e Controle c2_dga["<b>Ação</b> – <b>T1568.002 Algoritmos de Geração de Domínio</b>: Gera domínios pseudoaleatórios causando falhas nas buscas DNS.<br/><b>Descrição</b>: Fornece endpoints C2 dinâmicos."] class c2_dga action c2_dns["<b>Ação</b> – <b>T1071.004 Protocolo DNS</b>: Comunica-se através de consultas e respostas DNS.<br/><b>Descrição</b>: Usa DNS em camada de aplicação para C2."] class c2_dns action c2_web["<b>Ação</b> – <b>T1102 Serviço Web</b>: Comunicação bidirecional via serviço web HTTPS.<br/><b>Descrição</b>: Serve como canal C2 principal."] class c2_web action %% Nós u2013 Acesso a Credenciais cred_browser["<b>Ação</b> – <b>T1555.003 Credenciais dos Navegadores Web</b>: Rouba senhas armazenadas, arquivos de carteiras cripto e dados de sessão.<br/><b>Descrição</b>: Extrai credenciais de Chrome, Firefox, etc."] class cred_browser action cred_cookie["<b>Ação</b> – <b>T1550.004 Cookie de Sessão Web</b>: Usa cookies roubados como material de autenticação alternativo.<br/><b>Descrição</b>: Usa sessões web válidas novamente."] class cred_cookie action forge_cookie["<b>Ação</b> – <b>T1606.001 Forjar Credenciais Web</b>: Cria cookies forjados para se passar pelas vítimas.<br/><b>Descrição</b>: Permite acesso não autorizado a serviços web."] class forge_cookie action %% Nós u2013 Exfiltração exfil_c2["<b>Ação</b> – <b>T1041 Exfiltração Sobre Canal C2</b>: Envia dados colhidos através do serviço web C2.<br/><b>Descrição</b>: Dados saem da rede pelo mesmo canal usado para comando e controle."] class exfil_c2 action %% Conexões u2013 Fluxo de Ataque init_user_execution –>|leva a| loader_autoit init_mal_copy_paste –>|leva a| loader_autoit loader_autoit –>|usa| obfuscation loader_autoit –>|se disfarça como| masquerading loader_autoit –>|estabelece| persistence_shortcut loader_autoit –>|estabelece| persistence_task loader_autoit –>|estabelece| persistence_init persistence_shortcut –>|habilita| hijack_execution persistence_task –>|habilita| hijack_execution persistence_init –>|habilita| hijack_execution hijack_execution –>|emprega| defense_virtual hijack_execution –>|emprega| defense_reflective hijack_execution –>|conecta a| c2_dga c2_dga –>|resolve através de| c2_dns c2_dns –>|comunica através de| c2_web c2_web –>|rouba| cred_browser c2_web –>|captura| cred_cookie c2_web –>|habilita| forge_cookie cred_browser –>|fornece| exfil_c2 cred_cookie –>|fornece| exfil_c2 forge_cookie –>|fornece| exfil_c2 %% Estilização class init_user_execution,init_mal_copy_paste action class loader_autoit,obfuscation,masquerading tool class persistence_shortcut,persistence_task,persistence_init,hijack_execution,defense_virtual,defense_reflective,cred_browser,cred_cookie,forge_cookie action class c2_dga,c2_dns,c2_web,exfil_c2 action "
Fluxo de Ataque
Detecções
Possível Enumeração/Manipulação de Processo de AV (via linha de comando)
Ver
Possível Tentativa de Execução de Script AutoHotkey (via linha de comando)
Ver
Extensão Incomum de Binário Executável (via criação de processo)
Ver
Schtasks Aponta para Diretório/Binário/Script Suspeito (via linha de comando)
Ver
LOLBAS WScript/CScript (via criação de processo)
Ver
Binário AutoIT Executado em Local Incomum (via criação de processo)
Ver
Strings Suspeitas de PowerShell (via linha de comando)
Ver
IOCs (IP de Origem) para detectar: LummaStealer Está Ganhando uma Segunda Vida Junto do CastleLoader
Ver
IOCs (IP de Destino) para detectar: LummaStealer Está Ganhando uma Segunda Vida Junto do CastleLoader
Ver
Detectar Atividade do LummaStealer e CastleLoader via Execução de Processo [Criação de Processo no Windows]
Ver
Detecção de Execução de Linha Única de PowerShell Malicioso [Windows PowerShell]
Ver
Execução de Simulação
Pré-requisito: O Check Preliminar de Telemetria e Linha de Base deve ter passado.
Racional: Esta seção descreve a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e ter como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos do Ataque:
- Queda Inicial: O atacante ganha contexto de usuário (por exemplo, por meio de phishing) e usa o legítimo
explorer.exeprocesso para lançar a carga útil maliciosa localizada em um compartilhamento de rede montado:DeviceHarddiskVolumeXNFSNeed for Speed Hot PursuitSetup.exe. - Persistência e Lançador: Após a execução do malicioso
Setup.exeele dropa um script em lote (Pros.cmd) no mesmo diretório. O atacante então utilizacmd.exe /c copy Pros Pros.cmd & Pros.cmdpara executar o script, que carrega payloads adicionais. - Proxy AutoIt: Paralelamente, o loader pode invocar
AutoIt3.execom um script embutido (V.a3x) para contornar o AppLocker. Isso reflete acondição_selection_autoit.
Esses passos geram os três padrões de telemetria exatos exigidos pela regra Sigma:
explorer.execom o caminho hardcoded do malicioso Setup.exe, andcmd.execom/calém de uma cadeia de cópia e execução or uma execução de AutoIt.
- Queda Inicial: O atacante ganha contexto de usuário (por exemplo, por meio de phishing) e usa o legítimo
-
Script de Teste de Regressão:
# ----------------------------------------------- # Script de simulação LummaStealer / CastleLoader # ----------------------------------------------- $maliciousDir = "$env:ProgramDataNFSNeed for Speed Hot Pursuit" $setupPath = Join-Path $maliciousDir "Setup.exe" $batchPath = Join-Path $maliciousDir "Pros.cmd" $autoItPath = Join-Path $maliciousDir "V.a3x" # 1. Criar estrutura de diretórios New-Item -Path $maliciousDir -ItemType Directory -Force | Out-Null # 2. Colocar arquivos maliciosos fictícios (arquivos vazios são suficientes para logging) New-Item -Path $setupPath -ItemType File -Force | Out-Null New-Item -Path $batchPath -ItemType File -Force | Out-Null New-Item -Path $autoItPath -ItemType File -Force | Out-Null # 3. Simular explorer.exe lançando o Setup.exe malicioso Start-Process -FilePath "explorer.exe" -ArgumentList $setupPath # Pequena pausa para garantir que o primeiro evento seja registrado Start-Sleep -Seconds 2 # 4a. Acionar a cadeia de cópia e execução do cmd.exe cmd.exe /c "copy Pros.cmd $batchPath & $batchPath" # 4b. (Alternativa) Acionar execução do AutoIt – descomente se estiver testando este caminho # Start-Process -FilePath "AutoIt3.exe" -ArgumentList $autoItPath # 5. Esperar que eventos fluam para o SIEM Start-Sleep -Seconds 5 -
Comandos de Limpeza:
# Remover todos os artefatos criados pela simulação Remove-Item -Path "$env:ProgramDataNFS" -Recurse -Force -ErrorAction SilentlyContinue