Araştırmacılar, PowerShell komut dosyaları ve gizli bir EXE yükleyicisi de dahil olmak üzere birden fazla çevrimiçi örnekte Lumma Stealer etkinliğini gözlemledi; analiz, tümü aynı C2 sunucusuyla iletişim kuran bu örnekler arasında bir ebeveyn-çocuk ilişkisini ortaya çıkardı.
Sunulan örnekte gözlemlenen Lumma Stealer Truva Atı, popüler tarayıcılardan ve uygulamalardan hassas verileri sızdırmak için gelişmiş teknikler kullanıyor; tarayıcı kimlik bilgileri, kripto para birimi cüzdan ayrıntıları ve Steam ve Discord gibi platformlardaki kullanıcı profilleri dahil olmak üzere çok çeşitli bilgileri hedef alıyor. Kullanıcı gizliliği ve güvenliği için önemli bir tehdit oluşturuyor.
.webp)
Koleksiyon üç dosya içerir: bir PowerShell betiği (“Trigger.ps1”), boyutu önemli ölçüde daha büyük başka bir PowerShell betiği (“BMB1tcTf.txt”) ve bir yürütülebilir dosya (“hhh.exe”); her biri için SHA1 karmaları sağlanır. Kimlik ve bütünlük doğrulaması için dosya.
Trigger.ps1, bir dosyayı (BMB1tcTf.txt) indiren ve ortam meşruysa bu dosyayı çalıştıran bir PowerShell betiğidir; bu, başka bir dosyayı (hhh.exe) indirip yürütmeye çalıştığında kötü amaçlı gibi görünür.
GHOSTPULSE olarak tanımlanan kötü amaçlı yazılım örneği, işletim sistemi ayrıntıları, donanım özellikleri, yüklü modüller ve yürütme sonrasındaki etkin işlemler dahil olmak üzere sistem bilgilerini topluyor.
More.com’u (metin içeriğini görüntülemek için bir MS DOS komutu) kullanarak yeni bir işlem oluşturur ve İşlem Doppelgänging tekniğini kullanarak yükünü enjekte eder ve ardından iki dosyayı bırakır: biri more.com adında, diğeri ise rastgele küçük harf birleşimi dosya adına sahip.
AutoIt betiği (AutoIt3.exe) olarak gizlenen kötü amaçlı yazılım teslim edildi ve Ghostpulse tekniğini kullanan kötü amaçlı bir yük ile gömülü bir PNG görüntüsü içeriyordu; burada çıkarılan yük, kripto para birimini ve parolayla ilgili verileri çalabileceğini gösteriyor.
.webp)
Tianqiong korumalı alan analistlerine göre Lumma Stealer, sistem bilgilerini, panoları, tarayıcı şifrelerini vb. çalmak ve bunları C2’ye göndermek için 64 bit ortamda 32 bit API’leri yürütmek üzere işlem enjeksiyonunu (Cennet Kapısı tekniği) kullanan bir Truva atıdır. sunucu.
Belirli bir lifeID kullanarak bir C2 sunucusuyla bir oturum kurarak ve çalınan verileri sıkıştırılmış bir formatta ileterek, gelişmiş kaçırma tekniklerini göstererek, Firefox şifreleri gibi hassas verileri dışarı çıkarmak için benzersiz bir sınır dizisine sahip çok parçalı/formlu veri iletişim protokolünü kullanır. .