Cyble Research and Intelligence Labs (CRIL), kripto cüzdan verilerini, uzantıları ve iki faktörlü kimlik doğrulamayı (2FA) çalmak için Chromium ve Mozilla tabanlı tarayıcıları kullanan bir bilgi hırsızı tespit etti.
Bir tehdit avı tatbikatı sırasında araştırmacılar, bilgileri karanlık ağdaki bir gönderi ve LummaC2 Stealer’ı “kaynak” plan olarak 20.000 dolara satan bir web sitesi aracılığıyla buldular.
27 Aralık 2022’de yayınlanan paylaşımda LummaC2 Stealer’ın 60 kripto para çalma yeteneğiyle övünülüyor ve C dilinde geliştirilen hırsızın ASM’de yazılmış düşük seviyeli bir sarmalayıcıya sahip olduğu belirtiliyordu.
Gönderi ayrıca, C tabanlı hırsızın hırsızı dönüştürmeye yardımcı olduğunu ve düşük seviyeli sistem çağrılarıyla çalışırken her iki saatte bir güncelleme yaptığını iddia etti.
Ayrıca, gönderiye bağlı kripto cüzdan hırsızını satan web sitesi Rusça idi. Ayrıca hırsız için aşağıda gösterildiği gibi iki Telegram kanalı vardı:
LummaC2 Stealer, alıcılara günlük analiz araçlarıyla günlükleri görüntüleme ve yükleme olanağı sunan deneyimli kullanıcılara en az 250 ABD Doları karşılığında çeşitli özellikler sunan çeşitli şema ve paketlerde satıldı.
Profesyonel bir paket için 500 $ ücret aldı. Kurumsal kullanıcılar için 1000 ABD Doları ücretlendirildi ve ‘kaynak’ planı, satış hakkı da dahil olmak üzere tüm avantajlarla birlikte 20.000 ABD Doları olarak ücretlendirildi.
LummaC2 Stealer hakkında ayrıntılar
- Sunucuların IP adresleri – Bulgaristan ve Almanya merkezli sırasıyla 195.123.226.91 ve 144.76.173.247.
- İki aktif komuta ve kontrol sunucusuna sahipti.
- sha256 d932ee10f02ea5bb60ed867d9687a906f1b8472f01fc5543b06f9ab22059b264.
- 32 bit GUI tipi yürütülebilir dosya, aşağıdaki tarayıcılardan bilgi çalabilir:
- Krom
- Krom
- Mozilla Firefox
- Kenar
- Opera kararlı
- kuyruklu yıldız
- Vivaldi
- GX kararlı
- Cesur
- opera neonu
LummaC2 Stealer’ın hırsızlık zinciri
CRIL’e göre, hırsız yürütüldüğünde, gizlenmiş diziyi fidye dizisini kaldıran ve orijinal diziyi sunan bir işleve taşır.
Bu, LummaC2 Stealer’ın rastgele dizi, edx765 tarafından kapsanan gizlenmiş dizileri kullanarak tespitten kaçmasına yardımcı olur. İleride, hırsız API’leri çözer ve sistem bilgilerini kopyalar ve system.txt adıyla bellekte depolar. Çalınan bilgiler şunları içerir:
- LummaC2 yapısı
- Lumma Kimliği
- Ekran çözünürlüğü
- Donanım kimliği
- CPU adı
- Fiziksel hafıza
- Sistem dili
LummaC2 Stealer, bilgi çalma faaliyetinin ardından sanal makineden %userProfile% dizin bilgilerini toplar ve ‘Önemli Dosyalar/Profil’ olarak bellekte saklar. Kripto cüzdan bilgilerine erişmek için aşağıdaki kodu kullanır:
Çalınan tüm bilgiler aşağıda gösterildiği gibi LumenC2 Stealers komuta ve kontrol sunucusuna gönderilir:
Kripto cüzdanı verilerini komut ve kontrol sunucusuna gönderdikten sonra, bilgi hırsızı mümkün olduğu kadar çok hassas veriyi çalmaya devam etmek için tarayıcıyı tarar. Aşağıdaki tarayıcı verilerini arar:
- Tarih
- Giriş kimlik
- Ağ tanımlama bilgileri
- Web verileri
Kötü amaçlı yazılım, tarayıcıdayken, iki faktörlü kimlik doğrulama (2FA) uzantılarıyla ilgili verilerin tarayıcıda bulunup bulunmadığını da arar. Daha sonra çalınan tüm bilgileri komuta ve kontrol sunucusuna gönderir.
Cyble araştırmacıları, The Cyber Express’e düzenli yedekleme uygulamaları yapmaları ve bilgileri çevrimdışı veya başka bir ağda depolamaları gerektiğini söyledi. Ayrıca, hedefin sistemine giden yol olan şüpheli görünen e-postaları açmamanın önemini yinelediler.