LummaC2 маскируется под кряк для Total Commander и крадет данные

Переводчик Google

Как распространяется вредоносное ПО?​

Исследователи AhnLab Security Intelligence Center (ASEC) обнаружили, что злоумышленники распространяют LummaC2, маскируя его под взломанную версию Total Commander.

Total Commander — это файловый менеджер для Windows с поддержкой множества форматов и функций, включая копирование, перемещение, поиск по содержимому файлов, синхронизацию папок и работу с FTP/SFTP. После бесплатного пробного периода пользователям необходимо приобрести лицензию.

1740398257809.webp

Как жертвы заражают свои устройства?​

  1. Пользователь ищет в Google “Total Commander Crack”.
  2. В поисковой выдаче отображается пост с предложением скачать кряк.
  3. Переход по ссылке приводит к Google Colab drive и предлагает скачать файл.
  4. Затем пользователь проходит через несколько страниц, включая поддельный пост на Reddit, прежде чем попадет на страницу загрузки вредоносного ПО.
1740398396047.webp

Злоумышленники не используют автоматические редиректы, а требуют от пользователя самостоятельно кликать по ссылкам. Это означает, что атака нацелена именно на тех, кто ищет пиратскую версию программы.
1740398418508.webp


Как выглядит заражение?​

  1. Жертва скачивает ZIP-архив, внутри которого находится RAR-файл с паролем.
  2. В архиве содержится исполняемый файл “installer_1.05_38.2.exe”.
  3. После запуска этот файл инфицирует систему LummaC2.
1740398466867.webp

LummaC2 — это сложное вредоносное ПО, упакованное с использованием NSIS и AutoIt.


Этапы запуска вируса​

  1. NSIS-скрипт сначала запускает Batch-скрипт через cmd.exe.
  2. Batch-скрипт обфусцирован (запутан), чтобы скрыть свою настоящую цель.
  3. После расшифровки видно, что он:
    • проверяет наличие антивирусов (Avast, Sophos, ESET и др.)
    • загружает дополнительные файлы
    • запускает AutoIt-скрипт, в котором зашифрован LummaC2
1740398651409.webp

Как работает LummaC2?​

  • Вредоносное ПО декодируется в памяти и не оставляет следов на диске.
  • Собирает учетные данные:
    • Логины и пароли из браузеров
    • Доступы к email
    • Данные криптовалютных кошельков
    • Доступы к программам с авто-входом
  • Передает украденные данные на C&C сервер злоумышленников.
  • Информация может быть продана на даркнете или использована для атак на корпоративные системы.
1740398705968.webp

Как защититься?​

  • Не скачивайте пиратское ПО!
  • Загружайте программы только с официальных сайтов.
  • Используйте антивирус и обновляйте его.
  • Остерегайтесь подозрительных ссылок и архивов с паролями.

LummaC2 активно распространяется с начала 2023 года, особенно под видом пиратских программ. Пользователи, скачивающие кряки, подвергаются риску кражи данных и финансовых потерь.

Источник
 
Нажмите для раскрытия...
Войдите или зарегистрируйтесь для ответа.

Похожие темы

shestale
Шифратор маскируется под Google Chrome
Ответы
4
Просмотры
6K
Asimov
Asimov
Mila
Как маскируется вегето-сосудистая дистония
Ответы
0
Просмотры
2K
Mila
Mila
Severnyj
  • Статья Статья
Исследователи Akamai предупреждают о попадании критической уязвимости в Next.js под прицел хакеров.
Ответы
0
Просмотры
220
Severnyj
Severnyj
Назад
Сверху Снизу