hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
9 sierpnia 2024

Krótka droga od cracka do Lumma Stealera

#analiza #malware

Lumma Stealer, opisywana całkiem niedawno na naszych łamach przez Julię Jancelewicz, to jedno z najpopularniejszych zagrożeń w polskiej sieci. Jak łatwo paść jego ofiarą? Bardzo łatwo.

Bardzo często zaczyna się od gry. W przytoczonym przypadku – Stellaris, opisywanej jako gra łącząca gatunki 4X oraz grand strategy wargame. Jako, że coraz częściej bazowa gra nie daje tyle zabawy, ile byśmy chcieli, a dodatki (DLC) dodają nie tylko więcej czasu grania, ale też… spory zastrzyk pieniędzy dla developera. Nic więc dziwnego, że na „odblokowane DLC” nigdy nie zabraknie popytu.

Źródłem, od którego rozpoczyna się proces, kończący się infekcją jest serwis YouTube. O najpopularniejszej platformie wideo jako wektorze ataku pisaliśmy już trzy lata temu. Mimo, iż minęło tyle czasu, schemat się nie zmienił. Do infekcji wystarczy kilka kliknięć! A co się może stać, gdy już do niej dojdzie? To odsyłamy do wspominanego na początku artykułu Julii, która wszystko szczegółowo wyjaśniła.

Jak dać się zainfekować – poradnik obrazkowy dla Lumma Stealer

Oprócz szczegółowej instrukcji w filmie „How to unlock DLCs in Stellaris [2024 Update]”, sugerującej, że to co ściągną, naprawdę pomoże im odblokować płatną zawartość, zainteresowani też znajdą bezpośredniego linka do poszukiwanego programu.

Link schowany pod skracaczem docelowo prowadzi do witryny hxxp://telegra[.]ph/Stellaris-DLC-Unlocker-07-31.

Tu już widzimy przynajmniej dwie czerwone flagi. Link do archiwum z rzekomym unlockerem (gdzie rzecz jasna czeka Lumma), a przede wszystkim – hasło. Jeśli nie wiecie, czemu w takich sytuacjach mamy do czynienia z zaszyfrowanymi archiwami: to uniemożliwia przetestowanie schowanego w nich pliku pod kątem wirusów.

Czy kolejną czerwoną flagą jest fakt, że docelową lokacją (złośliwego) pliku jest serwis Mega? To akurat nie. W końcu mówimy o treściach pirackich, więc ciężko się spodziewać, że będą hostowane na poświęconych im oficjalnych stronach.

Po rozpakowaniu folder wygląda tak:

Czy instalacja programu odblokuje DLC w Stellaris? Tego nie wiemy, ale na pewno zainstaluje na komputerze ofiary Lumma Stealer. Szczegóły, dotyczące tej konkretnej próbki, znajdziecie w serwisie VirusTotal.

A listę powiązanych serwerów Command&Control – poniżej:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

28 marca 2025
Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.
Dowiedz się więcej
20 marca 2025
Celebryci w sieci oszustw: Facebook obiecuje, scamerzy zarabiają
Dowiedz się więcej
17 marca 2025
Open Redirect w służbie phishingu – CWE-601
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance