Исследователи безопасности из компании AhnLab Security (ASEC) недавно выявили новый вариант вредоносного ПО LummaC2, использующего популярную игровую платформу Steam в качестве ” data-html=”true” data-original-title=”C2″ >C2-сервера. Новый метод значительно повышает угрозу для пользователей и организаций по всему миру.
LummaC2 представляет собой инфостилер, который активно распространяется под видом нелегальных программ, таких как кряки, кейгены и игровые читы. Эти вредоносные файлы распространяются через множество каналов, включая YouTube, LinkedIn и даже рекламу в поисковых системах с использованием техники, известной как SEO Poisoning.
Недавно LummaC2 также замаскировалось под легитимные приложения, такие как Notion, Slack и Capcut, расширяя таким образом свою аудиторию. По данным ASEC, изначально LummaC2 распространялся в виде одного исполняемого файла (EXE) или через технику DLL Sideloading, где вредоносная DLL сжималась вместе с легитимным EXE-файлом. Этот метод позволял вирусу оставаться незаметным для многих систем безопасности.
В новом варианте LummaC2 использует платформу Steam для получения информации о C2-доменах, хотя ранее вся информация о C2-инфраструктуре была встроена в сам образец вредоносного ПО. В связи с этим нововведением злоумышленники теперь могут динамически изменять C2-домены, используя при этом легитимную платформу, что увеличивает устойчивость вируса и снижает вероятность его обнаружения.
Справедливости ради стоит отметить, что данный метод не является полностью новым. На самом деле, он повторяет стратегию, ранее использованную вирусом Vidar, который также эксплуатировал различные легитимные платформы, такие как TikTok, Mastodon и Telegram для получения информации о C2-инфраструктуре.
При выполнении LummaC2 расшифровывает свои внутренние зашифрованные строки для получения информации о C2-доменах. Если все встроенные домены недоступны, вирус инициирует процедуру подключения к Steam. Необходимый URL в пределах игровой платформы хранится прямо в исполняемом коде.
Записанный URL указывает на конкретную страницу профиля аккаунта Steam, предположительно созданную злоумышленником. Вредоносное ПО получает строку, анализируя тег “actual_persona_name” на этой странице, которая затем расшифровывается с использованием шифра Цезаря для получения актуального C2-домена.
Использование легитимного сервиса, такого как Steam, с его огромной базой пользователей – помогает снизить подозрения и позволяет злоумышленнику легко изменить C2-домен при необходимости. Эта гибкость увеличивает вероятность успеха атаки и делает вирус труднее обнаруживаемым для систем безопасности.
После расшифровки домена LummaC2 подключается к C2-серверу и загружает зашифрованный файл настроек JSON. Этот файл также расшифровывается, и вирус выполняет вредоносные действия на основе заданных настроек. Украденная информация включает в себя данные о программах для хранения паролей, браузеров, VPN, FTP и многих других. Она отправляется на C2-сервер хакеров по завершению работы вредоноса.
Чтобы уменьшить риск, связанный с LummaC2 и аналогичным вредоносным ПО, организациям и рядовым пользователям рекомендуется:
- Избегать загрузки нелегального ПО из ненадёжных источников.
- Использовать только надёжное антивирусное ПО.
- Регулярно обновлять программное обеспечение для защиты от известных уязвимостей.
- Обучать пользователей о рисках скачивания и запуска неизвестных файлов.
- Мониторить сетевой трафик для обнаружения необычных паттернов, которые могут указывать на заражение вирусом.
Все эти меры помогут лучше защититься от сложных тактик LummaC2 и других развивающихся киберугроз.