TTL OSINT

Lumma Stealer, оснащенный CypherIt, распространяется с использованием фишинговой приманки Falcon Sensor Update

23 июля 2024 года CrowdStrike Intelligence выявила фишинговый домен (crowdstrike-office365[.]com), который выдает себя за CrowdStrike и доставляет вредоносные ZIP- и RAR-файлы, содержащие загрузчик Microsoft Installer (MSI). Загрузчик MSI в конечном итоге запускает Lumma Stealer, программу для кражи информации о товарах, которая собирает информацию из браузеров, включая учетные данные, файлы cookie, данные автозаполнения и данные о расширениях браузера. Эта кампания, вероятно, связана с кампанией по распространению Lumma Stealer в июне 2024 года, в ходе которой злоумышленник использовал передовые методы социальной инженерии, такие как рассылка спама и голосовой фишинг (vishing), для доставки вредоносных двоичных файлов. Фишинговый домен был зарегистрирован всего через несколько дней после того, как была обнаружена проблема, присутствовавшая в одном обновлении контента для Falcon sensor от CrowdStrike, и было запущено исправление. Конечная полезная нагрузка зашифрована с помощью RC4 и сжата с помощью LZNT1, в результате чего получен образец Lumma Stealer с отметкой времени сборки от 19 июля 2024 года, что указывает на то, что исполнитель, вероятно, создал образец для распространения на следующий день после обнаружения обновления контента. Тот же самый домен C2, указанный в этом сообщении, был обнаружен в ходе недавней широкомасштабной кампании по рассылке спама и голосового фишинга (вишинга), что позволяет предположить, что эта активность связана с одним и тем же неназванным субъектом угрозы. Чтобы защититься от этой активности, CrowdStrike рекомендует выполнить приведенные рекомендации и использовать предоставленный запрос Falcon LogScale и сопоставление MITRE ATTCK.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.crowdstrike.com/blog/lumma-stealer-with-cypherit-phishing-lure/

Выборочные показатели Compromise:

• c3e50ca693f88678d1a6e05c870f605d18ad2ce5cfec6064b7b2fe81716d40b0
• warrantelespsz.shop
• 56f2aedb86d26da157b178203cec09faff26e659f6f2be916597c9dd4825d69f
• upknittsoappz.shop
• d669078a7cdcf71fb3f2c077d43f7f9c9fdbdb9af6f4d454d23a718c6286302a

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал