Исследователь безопасности в компании AhnLab Security (ASEC) недавно раскрыто новый вариант вредоносного ПО LummaC2, использующий в качестве C2-сервера популярную игровую платформу Steam. Новый метод значительно увеличивает угрозу для пользователей и организаций по всему миру.

LummaC2 — это похититель информации, который активно распространяется под видом нелегальных программ, таких как кряки, кейгены и игровые читы. Эти вредоносные файлы распространяются по различным каналам, включая YouTube, LinkedIn и даже рекламу в поисковых системах, используя технику, называемую SEO-отравлением.

Недавно LummaC2 также замаскировался под легальные приложения, такие как Notion, Slack и Capcut, расширяя свою аудиторию. По данным ASEC, LummaC2 изначально распространялся в виде одного исполняемого файла (EXE) или с помощью метода загрузки неопубликованных DLL, при котором вредоносная DLL сжималась вместе с законным EXE-файлом. Этот метод позволил вирусу остаться незамеченным многими системами безопасности.

В новом варианте LummaC2 использует платформу Steam для получения информации о доменах C2, хотя ранее вся информация об инфраструктуре C2 была интегрирована в сам образец вредоносного ПО. В связи с этим нововведением злоумышленники теперь могут динамически менять домены C2, используя легитимную платформу, что повышает стабильность вируса и снижает вероятность его обнаружения.

Справедливости ради следует отметить, что этот метод не является совсем новым. По сути, он повторяет стратегию, ранее использовавшуюся вирусом Vidar, который также использовал различные легитимные платформы, такие как TikTok, Mastodon и Telegram, для получения информации об инфраструктуре C2.

При выполнении LummaC2 расшифровывает свои внутренние зашифрованные строки, чтобы получить информацию о доменах C2. Если все встроенные домены недоступны, вирус инициирует процесс подключения к Steam. Необходимый URL внутри игровой платформы хранится непосредственно в исполняемом коде.

Записанный URL-адрес указывает на конкретную страницу профиля учетной записи Steam, которая, как предполагается, была создана злоумышленником. Вредоносная программа получает строку, анализируя тег «actual_persona_name» на этой странице, который затем расшифровывает. Шифр Цезаря чтобы получить текущий домен C2.

Использование авторитетного сервиса, такого как Steam, с его огромной базой пользователей, помогает снизить подозрения и позволяет злоумышленнику при необходимости легко изменить домен C2. Такая гибкость увеличивает вероятность успеха атаки и затрудняет обнаружение вируса системами безопасности.

После расшифровки домена LummaC2 подключается к серверу C2 и загружает зашифрованный файл настроек JSON. Этот файл также расшифровывается и вирус выполняет вредоносные действия на основании настроенных параметров. Украденная информация включает в себя данные о программах хранения паролей, браузерах, VPN, FTP и многих других. Он отправляется на сервер C2 хакера после завершения работы вредоносного ПО.

Чтобы снизить риск, связанный с LummaC2 и аналогичными вредоносными программами, организациям и частным лицам рекомендуется:

1. Избегайте загрузки нелегального программного обеспечения из ненадежных источников.
2. Используйте только надежное антивирусное программное обеспечение.
3. Регулярно обновляйте программное обеспечение для защиты от известных уязвимостей.
4. Расскажите пользователям о рисках, связанных с загрузкой и выполнением неизвестных файлов.
5. Отслеживайте сетевой трафик, чтобы выявить необычные закономерности, которые могут указывать на заражение вирусом.

Все эти меры помогут вам лучше защититься от сложной тактики LummaC2 и других развивающихся киберугроз.