Lumma veya Lummastealer olarak da bilinen Lummac.V2 Infostealer kötü amaçlı yazılım, şüphesiz kullanıcıları tehlikeye atmak için kurnaz “ClickFix” sosyal mühendislik tekniğini kullanan önemli bir tehdit olarak ortaya çıktı.
Gelişmiş bir ikili morpher ile C’den C ++ ‘a yeniden yazılan bu kötü amaçlı yazılım, tarayıcılardan, kripto cüzdanlarından, şifre yöneticilerinden, kimlik bilgileri, e -postalar, kişisel detaylar, ekran görüntüleri ve çerezler dahil olmak üzere geniş bir hassas veri spektrumunu hedefler.
Aldatıcı yollarla dağıtılan Lummac.v2, Windows Run iletişim kutusunu açmaya, önceden kaplanmış bir komutu yapıştırmasını ve yürütmesini sağlayan sahte captcha doğrulama sayfaları sunarak kullanıcıları kötü amaçlı komutlar yürütmeye çalışır.
.png
)
Bu, kişisel ve sistem güvenliğini tahrip edebilen karmaşık bir enfeksiyon zinciri oluşturan gizli bir PowerShell yükü başlatır.
Çok aşamalı enfeksiyon zinciri ve gizli yürütme
Enfeksiyon tipik olarak, kötü niyetli bağlantıların kullanıcıları hileli captcha sayfalarına yönlendirdiği çatlak yazılım, film veya müzik için masum internet aramalarıyla başlar.
Kullanıcı aldatıcı talimatları izledikten sonra, bir PowerShell komutu, genellikle uzak bir sunucudan kötü amaçlı bir komut dosyasını indirir ve genellikle -W Hidden parametre.
Google Report’a göre, bu komut dosyası, adlı bir dosya getiren komut dosyası pnk3.txtkötü amaçlı yazılım içeren bir zip arşivinin indirilmesini düzenler, kullanıcının AppData klasörüne çıkarır ve gibi gizlenmiş bir yürütülebilir dosyayı yürütür Perspective.exe.
Kalıcılık için, Lummac.v2, sistem başlangıçta çalıştığından emin olmak için kayıt defteri girişleri ekler.
Kötü amaçlı yazılım, meşru bir programın kötü niyetli bir DLL gibi yüklediği DLL kaçırma da dahil olmak üzere çeşitli dağıtım mekanizmaları kullanır. tak_deco_lib.dllgibi güvenilir süreçlere kodu enjekte etmek için oyuk işleme işlemleri BitlockerToGo.exeve algılamadan kaçınmak için gizlenmiş komut dosyalarını kullanan otomatik tabanlı damlalar.
Bu teknikler, meşru süreçlerdeki faaliyetlerini maskelediği ve güvenlik araçlarını engellemek için anti-analiz kontrolleri kullandığı için kötü amaçlı yazılımların karmaşıklığını vurgulamaktadır.
Veri Defiltrasyonu ve Sağlam C2 İletişimi
Dağıtım yapıldıktan sonra, Lummac.v2, Cloudflare’nin ters proxy hizmetleri tarafından gerçek sunucu konumlarını gizlemek için maskelenen kalıcı DNS sorguları ve TLS V1.2 bağlantıları aracılığıyla komut ve kontrol (C2) sunucularıyla iletişim kurar.
Bir kalp atışı sinyali ile sunucu kullanılabilirliğini onayladıktan sonra (act=life), Base64 ve XOR teknikleri ile şifrelenmiş gizlenmiş yapılandırma verilerini alır, daha sonra HTTP Post istekleri aracılığıyla exfiltrasyon için kripto para birimi cüzdan verileri ve tarayıcı dosyaları gibi hassas bilgileri hazırlar.
Kötü amaçlı yazılımların ek yükler veya talimatlar talep etme yeteneği, uyarlanabilirliğini ve enfeksiyon sonrası oluşturduğu devam eden riski vurgular.
Kapsamlı uygulamalar ve kişisel dosyalar listesini hedefleyen Lummac.v2, günümüzün dijital manzarasında Infostealer kötü amaçlı yazılım tehlikesini örneklendirerek, kullanıcıları çevrimiçi etkileşimlerle dikkatli olmaya ve bu tür gizli tehditlere karşı sağlam güvenlik savunmalarını sürdürmeye çağırıyor.
Siber suçlular taktiklerini geliştirdikçe, farkındalık ve proaktif önlemler, insan merakından yararlanan ve yıkıcı etkiye olan güvenden yararlanan Lummac.v2 gibi tehditlerin sinsi erişimine karşı koymak için kritik olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!