Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Índice:
Lumma Stealer, um malware nefasto de roubo de informações, ressurge na arena de ameaças cibernéticas. Defensores recentemente descobriram uma campanha avançada de adversários distribuindo Lumma Stealer através da infraestrutura do GitHub juntamente com outras variantes de malware, incluindo SectopRAT, Vidar, e Cobeacon.
Detectar Lumma Stealer, SectopRAT, Vidar, Cobeacon Implantados via GitHub
Lumma Stealer é um notório malware de roubo de dados que extrai credenciais, carteiras de criptomoedas, detalhes do sistema e arquivos enquanto se conecta a servidores adversários para permitir ações maliciosas adicionais. A última campanha associada à entrega baseada no GitHub do Lumma Stealer representa uma ameaça crescente para organizações potencialmente afetadas e usuários individuais devido a um conjunto de técnicas sofisticadas de evasão e capacidades ofensivas que envolvem a implantação de outros malwares, como SectopRAT, Vidar e Cobeacon.
A plataforma SOC Prime oferece uma lista curada de conteúdo de detecção para ajudar as equipes de segurança a identificar intrusões de maneira oportuna e evitar proativamente ameaças relacionadas. Clique emExplorar Detecções para acessar conteúdo SOC relevante alinhado com o framework MITRE ATT&CK® e enriquecido com CTI acionável e metadados abrangentes.
Os defensores também podem seguir os links correspondentes para obter regras Sigma adicionais para Lumma Stealer, SectopRAT, Vidar, e detecção de Cobeacon baseada nas tags associadas. Além disso, as equipes de segurança podem explorar detecções abordando TTPs utilizados por Stargazer Goblin, o grupo cujos padrões de comportamento se sobrepõem aos dos adversários por trás desta campanha.
Análise de Lumma Stealer: Visão Geral de uma Nova Campanha de Malware Potencialmente Ligada ao Grupo Stargazer Goblin
A equipe Managed XDR da Trend Micro trouxe à luz uma nova campanha sofisticada ofensiva envolvendo Lumma Stealer. Os adversários exploram o GitHub como uma plataforma confiável para distribuir o stealer, que então aciona ações ofensivas adicionais. Os atacantes utilizam a infraestrutura do GitHub para obter acesso inicial, atraindo vítimas para baixar arquivos de URLs prejudiciais disfarçados como seguras. Estes arquivos furtivamente exfiltram dados sensíveis e estabelecem conexões com servidores C2 externos para executar comandos enquanto evitam a detecção.
A campanha que engana os usuários para baixar o Lumma Stealer e outras cepas de malware também facilita a implantação de ferramentas ofensivas adicionais e visa criar múltiplos diretórios e preparar dados para exfiltração. Para manter a persistência, os adversários aproveitam scripts PowerShell e comandos Shell.
Os TTPs de atacante observados nesta campanha alinham-se com aqueles previamente ligados ao grupo Stargazer Goblin, conhecido por usar sites comprometidos e o GitHub para distribuir cargas. A pesquisa revelou padrões repetidos de URL e o uso de sites legítimos, mas comprometidos, para redirecionar as vítimas para malware hospedado no GitHub. A tendência do grupo em experimentar fluxos de infecção e o uso de cargas diversificadas destacam a flexibilidade dos atacantes e as táticas em constante evolução.
A cadeia de ataque começa com arquivos hospedados no GitHub. Um usuário baixou Pictore.exe via Chrome, enquanto outro recuperou App_aeIGCY3g.exe, ambos armazenados temporariamente na infraestrutura do GitHub. Ambos os arquivos executáveis armados parecem estar disfarçados como Lumma Stealer. Os arquivos iniciais do Lumma Stealer implantam e executam ameaças adicionais, incluindo SectopRAT, Vidar, Cobeacon e outra variante do Lumma Stealer. Estes arquivos foram criados em pastas com nomes aleatórios, provavelmente geradas dinamicamente, dentro do diretório temp antes de serem executados. Um arquivo descarregado que contém iteração do Lumma Stealer coleta credenciais armazenadas, cookies de sessão, dados de preenchimento automático e histórico de navegação. Ele também solta um script PowerShell ofuscado no diretório temp, que contata domínios legítimos—provavelmente como uma verificação de conectividade antes de recuperar cargas adicionais ou comandos do atacante.
Para mitigar ameaças cibernéticas como o Lumma Stealer utilizado nesta campanha, as organizações são recomendadas a validar URLs e arquivos antes de baixar, inspecionar cuidadosamente links de e-mail e anexos e verificar certificados digitais. Além disso, adotar inteligência contra ameaças, corrigir sistemas, habilitar MFA e aplicar uma abordagem de confiança zero ajuda a minimizar a exposição a ameaças cibernéticas. Plataforma SOC Prime para defesa cibernética coletiva equipam empresas, organizações focadas em MDR e pesquisadores individuais com um conjunto completo de produtos para superar ameaças cibernéticas avançadas, incluindo variantes emergentes de malware e ferramentas ofensivas em constante evolução, enquanto ajudam as equipes SOC a construir uma postura robusta de segurança cibernética.
