- يختبئ برنامج Lumma Stealer Malware في موقع متميز Telegram المزيف ، حيث يتم إطلاقه بدون نقرات مستخدم
- الاستخدامات القابلة للتنفيذ تستخدم تشويشًا لتجاوز معظم تقنيات المسح المضاد للفيروسات التقليدية بالكامل
- تتصل البرامج الضارة بخوادم Telegram الحقيقية أثناء إرسال البيانات المسروقة سراً إلى المجالات المخفية
تستهدف الحملة الخبيثة المستخدمين من خلال موقع الويب الخاص بالبرقية الاحتيالية ، مما يوفر متغيرًا خطيرًا من البرامج الضارة Lumma Stealer.
يدعي تقرير من Cyfirma أن تطبيق Telegrampremium (.) يحاكي عن كثب العلامة التجارية Legitimate Telegram Premium ويستضيف ملف START.EXE.
يتم تنزيل هذا التنفيذ القابل للتنفيذ ، المدمج في C/C ++ ، تلقائيًا عند زيارة الموقع ، لا يتطلب أي تفاعل بين المستخدم.
نظرة فاحصة على توصيل البرامج الضارة
بمجرد تنفيذها ، تحصد بيانات حساسة ، بما في ذلك بيانات الاعتماد المخزنة للمتصفح ، وتفاصيل محفظة العملة المشفرة ، ومعلومات النظام ، وزيادة المخاطر مثل سرقة الهوية.
يعمل الموقع المزيف كآلية تنزيل من خلال القيادة ، وهي طريقة يتم فيها تسليم الحمولات الضارة تلقائيًا دون موافقة صريحة.
يشير الانتروبيا العالية للقابلة للتنفيذ إلى استخدام تشفير للتشويش ، مما يعقد الكشف عن طريق الأجنحة الأمنية التقليدية.
يوضح التحليل الثابت أن البرامج الضارة تستورد العديد من وظائف Windows API ، وتمكينها من معالجة الملفات ، وتعديل السجل ، والوصول إلى الحافظة ، وتنفيذ الحمولات الإضافية ، واكتشاف التهرب.
تبدأ البرامج الضارة أيضًا استفسارات DNS عبر خادم DNS العام من Google ، مما يتفوق على عناصر التحكم في الشبكة الداخلية.
إنه يتواصل مع كل من الخدمات المشروعة مثل Telegram و Steam Community لأغراض القيادة والسيطرة المحتملة ومع مجالات الخوارزمية التي تم إنشاؤها للتهرب من عمليات إزالة المجال.
تتيح هذه التقنيات للبرامج الضارة الحفاظ على قنوات الاتصال مع تجنب الكشف عن طريق جدران الحماية وأدوات المراقبة التقليدية.
يتم تسجيل المجال المعني حديثًا ، حيث تشير خصائص الاستضافة إلى أنه تم إعداده للنشاط المستهدف قصير الأجل.
تقوم البرامج الضارة بإسقاط ملفات مقنعة متعددة في دليل ٪ temp ٪ ، بما في ذلك الحمولة المشفرة التي تتنكر كملفات صور.
تم إعادة تسمية بعضها في وقت لاحق وتنفيذها كنصوص محتملة ، مما يتيح البرامج الضارة لتنظيف آثارها.
يستخدم وظائف مثل النوم لتأخير التنفيذ و LoadLibraryExw لتحميل DLLs بشكل خلسة ، مما يجعل من الصعب على المحللين اكتشاف وجوده أثناء الفحص الأولي.
يتطلب البقاء في مأمن من تهديدات هذا الطبيعة مزيجًا من التدابير الفنية وتوعية المستخدم.
كيف تبقى آمنة
- يجب على المنظمات تنفيذ حلول الكشف عن نقطة النهاية والاستجابة قادرة على تحديد أنماط السلوك المشبوه المرتبطة بسرقة Lumma
- منع كل الوصول إلى المجالات الضارة
- فرض عناصر تحكم تنزيل صارمة لمنع تسليم الحمولة النافعة
- تعد المصادقة المتعددة العوامل ضرورية للحد من الضرر إذا تم اختراق بيانات الاعتماد
- يساعد دوران بيانات الاعتماد المنتظم على تقليل مخاطر الوصول على المدى الطويل من قبل المهاجمين
- تتيح المراقبة المستمرة للنشاط المشبوه الكشف بشكل أسرع والاستجابة للانتهاكات المحتملة
