- Lumma красть вредоносное ПО Скрыто на сайте Fake Telegram Premium и начинается без кликов пользователей
- Исполняемый файл использует завалую криптора, чтобы избежать большинства обычных антивирусных методов
- Удолошительные программы соединяются с реальными серверами телеграммы, в то время как она тайно отправляет украденные данные в скрытые домены
Заль, что злонамеренная кампания предназначена для пользователей на мошенническом веб -сайте от Telegram Premium и предоставляет опасные варианты вредоносного ПО Луммы.
Отчет по Cfygma утверждает домен TelegramPremium[.]App Ahmt The Legitimate Brand Telegram Premium точно и размещает файл с именем start.exe.
Этот исполняемый файл, который был установлен в C/C ++, автоматически загружается при посещении веб -сайта, в результате чего не требуется взаимодействие с пользователем.
Более внимательный взгляд на доставку вредоносных программ
После выполнения конфиденциальные данные, в том числе информация о входе в браузер, письма криптовалюты и информацию о системе, все более называют риски, такие как кража личных данных.
Поддельный веб-сайт используется в качестве механизма нагрузки, метод, при котором вредоносные полезные нагрузки автоматически доставляются без явного согласия.
Высокая энтропия исполняемого файла указывает на использование криптора для завесы, которое влияет на распознавание через традиционное осложнение Security Suites.
Статический анализ показывает, что вредоносная программа импортирует многочисленные функции API Windows, так что вы манипулируете файлами, изменяли регистрацию, получаете доступ к буфер обмена, выполняете дополнительные полезные нагрузки и удаляете обнаружение.
Удолошительное ПО также инициирует запросы DNS на общественном DNS -сервере Google, в результате чего управления внутренними сетью обрабатываются.
Он передает как законные услуги, такие как Telegram, а также сообщество Steam для возможных целей командования и управления, а также с алгоритмическими доменами, чтобы избежать домена.
Эти методы позволяют вредоносному ПО сохранить каналы связи и в то же время, чтобы избежать обнаружения брандмауэрами и обычными инструментами наблюдения.
Вовлеченный домен перерегистрируется, в результате чего функции хостинга указывают на то, что он был настроен для недолговечных целевых действий.
Удолошение удаляет несколько замаскированных файлов в каталоге % Temp %, включая зашифрованные полезные нагрузки, которые замаскивают себя в качестве файлов изображений.
Некоторые позже переименованы в переименование и выполнены в завуалированных сценариях, чтобы вредоносные программы могли очистить свои треки.
Он использует такие функции, как сон, для откладывания выполнения и тайной загрузки DLL, что затрудняет аналитику признать их присутствие во время первой проверки.
Это требует комбинации технических мер и осведомленности пользователей.
Как оставаться в безопасности
- Организации должны реализовать Решения для обнаружения конечных точек и реакции, которые могут идентифицировать подозрительные модели поведения, которые связаны с Lumma Searer
- Заблокируйте весь доступ к злонамеренным доменам
- Принудительные строгие элементы управления загрузкой, чтобы предотвратить доставку полезной нагрузки
- Многофакторная аутентификация важна для ограничения ущерба, когда информация о входе в систему нарушена
- Информация об регулярной входе снижает риск долгосрочного доступа со стороны злоумышленников
- Непрерывный мониторинг подозрительных действий обеспечивает более быстрое обнаружение и реакцию на возможные нарушения
Вы также могли бы понравиться
