LummaStealer Отримує Друге Життя Разом з CastleLoader

"graph TB %% Класи визначень classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Вузли – Початковий доступ init_user_execution["<b>Action</b> – <b>T1204 Виконання користувачем</b>: Жертви запускають фейкове зламане програмне забезпечення або інсталятори ігор/фільмів.<br/><b>Опис</b>: Виконання шкідливого коду користувачем."] class init_user_execution action init_mal_copy_paste["<b>Action</b> – <b>T1204.004 Шкідливе копіювання та вставка</b>: Користувачі дотримуються інструкцій ClickFix CAPTCHA для копіювання та вставки шкідливих команд.<br/><b>Опис</b>: Зловмисник направляє жертву виконати контрольований ним код."] class init_mal_copy_paste action %% Вузли – Розгортання завантажувача loader_autoit["<b>Tool</b> – <b>T1059.010 Інтерпретатор AutoIt</b>: Скомпільований скрипт CastleLoader.<br/><b>Опис</b>: Виконує сильно обфусцьований код AutoIt."] class loader_autoit tool obfuscation["<b>Action</b> – <b>T1027.009 Вбудовані навантаження</b>: Обфусцьований скрипт AutoIt ховає шкідливе навантаження.<br/><b>Опис</b>: Використовує кодування та пакування для уникнення аналізу."] class obfuscation action masquerading["<b>Action</b> – <b>T1036 Маскування</b>: Завантажувач, замаскований під легітимний інсталятор з поширеними розширеннями програмного забезпечення.<br/><b>Опис</b>: Виглядає добропорядним для користувача і інструментів безпеки."] class masquerading action %% Вузли – Стійкість persistence_shortcut["<b>Action</b> – <b>T1547.009 Модифікація ярлика</b>: Створює файли .lnk та .url у стартовій папці.<br/><b>Опис</b>: Зберігає стійкість, запусаючись при вході користувача."] class persistence_shortcut action persistence_task["<b>Action</b> – <b>T1053 Заплановане завдання</b>: VBA скрипт реєструє заплановане завдання для повторного виконання.<br/><b>Опис</b>: Запускає навантаження через задані інтервали."] class persistence_task action persistence_init["<b>Action</b> – <b>T1037 Скрипти ініціалізації входу</b> та <b>T1547.014 Активне налаштування</b>: Виконує скрипти під час входу користувача через ключі реєстрації.<br/><b>Опис</b>: Забезпечує виконання коду при кожному вході."] class persistence_init action hijack_execution["<b>Action</b> – <b>T1574 Відхилення потоку виконання</b>: Відображене завантаження шкідливого навантаження в пам’ять.<br/><b>Опис</b>: Виконує без запису файлів на диск."] class hijack_execution action %% Вузли – Ухилення від захисту defense_virtual["<b>Action</b> – <b>T1497 Віртуалізація/Ухилення від пісочниці</b> та <b>T1497.002 Перевірки діяльності користувача</b>: Виявляє середовище аналізу та перериває виконання.<br/><b>Опис</b>: Уникає виявлення у пісочниці."] class defense_virtual action defense_reflective["<b>Action</b> – <b>T1620 Латентне завантаження коду</b>: Завантажує код через віддзеркалення, щоб приховати активність.<br/><b>Опис</b>: Обходить інструменти статичного аналізу."] class defense_reflective action %% Вузли – Команда та контроль c2_dga["<b>Action</b> – <b>T1568.002 Алгоритми генерації доменів</b>: Генерує псевдовипадкові домени, що спричиняють невдалі запити DNS.<br/><b>Опис</b>: Надає динамічні точки C2."] class c2_dga action c2_dns["<b>Action</b> – <b>T1071.004 Протокол DNS</b>: Спілкується через запити та відповіді DNS.<br/><b>Опис</b>: Використовує DNS на рівні додатку для контрольних команд C2."] class c2_dns action c2_web["<b>Action</b> – <b>T1102 Веб-сервіс</b>: Двосторонній звu0027язок через веб-сервіс HTTPS.<br/><b>Опис</b>: Служить як основний канал C2."] class c2_web action %% Вузли – Доступ до облікових даних cred_browser["<b>Action</b> – <b>T1555.003 Облікові дані з веб-браузерів</b>: Краде збережені паролі, файлові криптовалюти та дані сеансів.<br/><b>Опис</b>: Видобуває облікові дані з Chrome, Firefox тощо."] class cred_browser action cred_cookie["<b>Action</b> – <b>T1550.004 Веб-сесійні кукі</b>: Використовує вкрадені кукі як альтернативну аутентифікаційну інформацію.<br/><b>Опис</b>: Повторно використовує дійсні веб-сесії."] class cred_cookie action forge_cookie["<b>Action</b> – <b>T1606.001 Підробка веб-облікових даних</b>: Створює підроблені кукі для імітації жертв.<br/><b>Опис</b>: Надає несанкціонований доступ до веб-сервісів."] class forge_cookie action %% Вузли – Екфільтрація exfil_c2["<b>Action</b> – <b>T1041 Експорт через канал C2</b>: Відправляє зібрані дані через веб-сервіс C2.<br/><b>Опис</b>: Дані покидають мережу через той самий канал, що використовувався для команди і контролю."] class exfil_c2 action %% Зв’язки – Потік атаки init_user_execution –>|призводить до| loader_autoit init_mal_copy_paste –>|призводить до| loader_autoit loader_autoit –>|використовує| obfuscation loader_autoit –>|вдає з себе| masquerading loader_autoit –>|встановлює| persistence_shortcut loader_autoit –>|встановлює| persistence_task loader_autoit –>|встановлює| persistence_init persistence_shortcut –>|забезпечує| hijack_execution persistence_task –>|забезпечує| hijack_execution persistence_init –>|забезпечує| hijack_execution hijack_execution –>|використовує| defense_virtual hijack_execution –>|використовує| defense_reflective hijack_execution –>|підключається до| c2_dga c2_dga –>|перетворює через| c2_dns c2_dns –>|спілкується через| c2_web c2_web –>|викрадає| cred_browser c2_web –>|захоплює| cred_cookie c2_web –>|надає можливість| forge_cookie cred_browser –>|забезпечує| exfil_c2 cred_cookie –>|забезпечує| exfil_c2 forge_cookie –>|забезпечує| exfil_c2 %% Стейлинг class init_user_execution,init_mal_copy_paste action class loader_autoit,obfuscation,masquerading tool class persistence_shortcut,persistence_task,persistence_init,hijack_execution,defense_virtual,defense_reflective,cred_browser,cred_cookie,forge_cookie action class c2_dga,c2_dns,c2_web,exfil_c2 action "

Потік атаки