Detecção de Malware Lumma Stealer: Hackers Abusam de Canais do YouTube para Espalhar uma Variante de Malware
Índice:
Relatórios recentes de cibersegurança revelam uma série de ataques em que hackers aproveitam canais do YouTube para espalhar a variante de malware Lumma. A cepa maliciosa Lumma, projetada para roubar dados sensíveis, está em destaque desde 2022, sendo ativamente promovida por adversários em sites de hacking e passando por múltiplas atualizações e melhorias continuamente.
Este artigo de blog oferece insights sobre a análise do Lumma Stealer e fornece uma lista de algoritmos de detecção relevantes para ajudar os defensores a prevenir ataques que disseminam as infames iterações do malware.
Detectar Malware Lumma Stealer
A cada dia, especialistas em cibersegurança descobrem aproximadamente 560.000 novas instâncias de malware, contribuindo para um conjunto existente de mais de 1 bilhão de programas de software malicioso. Com uma ameaça constantemente crescente imposta por cibercriminosos, as organizações precisam de ferramentas confiáveis para identificar proativamente o risco de ataque e se defender a tempo.
Para detectar atividades maliciosas associadas à mais recente campanha do Lumma Stealer, os defensores cibernéticos podem verificar uma coleção de algoritmos de detecção selecionados listados na Plataforma SOC Prime. Todas as detecções são acompanhadas por inteligência de ameaça extensa, cronologias de ataques e metadados adicionais. Além disso, todas as regras são compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake e mapeadas para o framework MITRE ATT&CK v14. Basta clicar no Explorar Detecções botão abaixo e aprofundar-se no conjunto de regras agregadas no Threat Detection Marketplace da SOC Prime.
Além disso, para mergulhar mais fundo no contexto e detectar ataques relacionados à atividade do malware Lumma, os profissionais de cibersegurança podem explorar o stack de detecção dedicado disponível na Plataforma SOC Prime pelas tags “lummastealer” e “lumma”.
Análise do Malware Lumma Stealer
Em 8 de janeiro de 2024, o FortiGuard Labs publicou uma pesquisa sobre a última campanha dos mantenedores do Lumma Stealer. Os adversários exploram canais do YouTube para a distribuição do malware Lumma. Padrões semelhantes de adversários também foram descobertos no início da primavera de 2023.
Vídeos do YouTube podem ser usados para espalhar malware incorporando URLs maliciosas, frequentemente encurtadas por meio de serviços populares como TinyURL e Cuttly. Fornecer conteúdo relacionado a software crackeado pode dar aos atacantes a permissão para enviar vídeos disfarçados como compartilhamento de aplicativos crackeados.
Lumma Stealer, um malware baseado em C, tem como alvo principal dados do sistema, carteiras de criptomoedas, navegadores e extensões de navegador. Lumma Stealer emprega um conjunto de técnicas de ofuscação para evitar a detecção. O malware estabelece comunicação com um servidor C2, permitindo a troca de instruções e a transmissão de dados roubados. Desde 2022, Lumma Stealer tem sido comercializado em fóruns de hacking e via Telegram, apresentando um histórico de mais de uma dezena de servidores C2 detectados em operação e aprimorado através de uma série de atualizações do malware.
Na fase inicial do ataque, os atacantes comprometem uma conta de usuário do YouTube para postar vídeos que fingem compartilhar software crackeado. As descrições dos vídeos contêm uma URL maliciosa, atraindo vítimas a baixar um arquivo ZIP com conteúdo malicioso. Notavelmente, o arquivo armado é constantemente atualizado, mostrando a eficácia deste método adversário na distribuição de malware. O último consiste em um arquivo LNK que aciona o PowerShell para baixar um arquivo de execução .NET do GitHub. Um carregador .NET sofisticado é enriquecido com verificações de ambiente, múltiplas capacidades anti-máquinas virtuais e anti-depuração. Como resultado, um carregador malicioso espalha o Lumma Stealer como carga final nos casos impactados.
Como potenciais medidas de mitigação do malware Lumma, os defensores recomendam permanecer continuamente vigilantes ao lidar com fontes suspeitas de aplicativos e sempre confiar apenas em software legítimo de fontes confiáveis e seguras.
Utilizando Uncoder IO, um IDE de código aberto para Engenharia de Detecção, as equipes de segurança podem agilizar a correspondência de IOC gerando automaticamente consultas personalizadas de IOC a partir de fontes relevantes de inteligência de ameaças para buscar por ameaças em questão de segundos.
