Το LummaC2 malware χρησιμοποιεί το Steam ως C2 server

Ερευνητές ασφαλείας ανακάλυψαν μια νέα παραλλαγή του malware LummaC2 που αξιοποιεί την gaming πλατφόρμα Steam ως Command-and-Control (C2) server.

Το LummaC2 είναι ένα κακόβουλο λογισμικό κλοπής πληροφοριών που συνήθως διανέμεται μέσω παράνομων προγραμμάτων, όπως cracks, keygens και game hacks. Αρκετοί χρήστες αναζητούν τέτοια πειρατικά προγράμματα. Αυτά τα προγράμματα μπορεί να εμφανίζονται στο YouTube, στο LinkedIn και σε διαφημίσεις μηχανών αναζήτησης, χρησιμοποιώντας μια τεχνική γνωστή ως SEO poisoning.

Πιο πρόσφατα, το malware LummaC2 είχε μεταμφιεστεί σε νόμιμες εφαρμογές όπως το Notion, το Slack και το Capcut, διευρύνοντας περαιτέρω την εμβέλειά του.

Σύμφωνα με αναφορές της ASEC ahnlab, το LummaC2 διαδόθηκε αρχικά ως ένα μόνο εκτελέσιμο αρχείο (EXE) ή μέσω DLL-SideLoading, όπου ένα κακόβουλο DLL συμπιεζόταν μαζί με ένα νόμιμο αρχείο EXE. Αυτή η μέθοδος επέτρεψε στο malware να εκτελέσει το payload του παραμένοντας απαρατήρητο.

Δείτε επίσης: Ευπάθεια του Microsoft SmartScreen χρησιμοποιείται για διανομή info-stealer malware

LummaC2 malware: Εκμετάλλευση Steam για C2 Domains

Στη νέα παραλλαγή, το LummaC2 εκμεταλλεύεται τη δημοφιλή gaming πλατφόρμα Steam για να αποκτήσει πληροφορίες C2 domain. Προηγουμένως, όλες οι πληροφορίες C2 ήταν ενσωματωμένες στο ίδιο το δείγμα κακόβουλου λογισμικού.

Ωστόσο, με την κατάχρηση του Steam, οι εισβολείς μπορούν να αλλάξουν το C2 domain, ενισχύοντας την ανθεκτικότητα του κακόβουλου λογισμικού και μειώνοντας την πιθανότητα εντοπισμού.

Αξίζει να σημειωθεί ότι στο παρελθόν έχουμε δει και το Vidar malware να εκμεταλλεύεται νόμιμες πλατφόρμες όπως το TikTok, το Mastodon και το Telegram για τη λήψη πληροφοριών C2.

Αποκρυπτογράφηση και εκτέλεση

Κατά την εκτέλεση, το LummaC2 malware αποκρυπτογραφεί τις εσωτερικές κρυπτογραφημένες συμβολοσειρές του για να αποκτήσει C2 domain information. Η κρυπτογράφηση βασίζεται στο Base64 και έναν αποκλειστικό αλγόριθμο, με κάθε δείγμα να περιέχει περίπου 8 έως 10 C2 domains.

Το κακόβουλο λογισμικό ξεκινά μια ρουτίνα σύνδεσης Steam εάν δεν είναι προσβάσιμα όλα τα ενσωματωμένα C2 domains. Σε αντίθεση με το C2 domain, το URL Steam αποθηκεύεται σε εκτελέσιμο κώδικα και ο αλγόριθμος αποκρυπτογράφησης διαφέρει.

Το Steam URL οδηγεί σε μια σελίδα Steam account profile που πιστεύεται ότι δημιουργήθηκε από τον εισβολέα. Το κακόβουλο λογισμικό αποκτά μια συμβολοσειρά αναλύοντας το tag “actual_persona_name” σε αυτήν τη σελίδα. Στη συνέχεια, γίνεται αποκρυπτογράφηση μέσω του Caesar cipher για την αποκάλυψη του C2 domain.

Δείτε επίσης: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads

Η χρήση ενός νόμιμου domain όπως το Steam βοηθά στην αποφυγή του εντοπισμού και επιτρέπει στον εισβολέα να αλλάξει εύκολα το C2 domain, αν χρειαστεί.

Μόλις αποκρυπτογραφηθεί το C2 domain, το LummaC2 malware συνδέεται με τον διακομιστή C2 και κατεβάζει ένα κρυπτογραφημένο settings JSON file. Στη συνέχεια, αυτό το αρχείο αποκρυπτογραφείται και το κακόβουλο λογισμικό

εκτελεί διάφορες κακόβουλες ενέργειες.

Οι κλεμμένες πληροφορίες αποστέλλονται πίσω στον διακομιστή C2 και περιλαμβάνουν:

• Πληροφορίες προγράμματος πορτοφολιού
• Πληροφορίες προγράμματος περιήγησης
• Πληροφορίες προγράμματος αποθήκευσης κωδικών πρόσβασης
• Αρχεία TXT στον κατάλογο χρήστη
• Πληροφορίες Messenger
• Πληροφορίες προγράμματος FTP
• Πληροφορίες VPN
• Πληροφορίες προγράμματος αλληλογραφίας
• Και άλλα

Η εκμετάλλευση του Steam από το LummaC2 malware αντιπροσωπεύει τη συνεχή εξέλιξη των τεχνικών των hackers. Αξιοποιώντας μια νόμιμη και ευρέως χρησιμοποιούμενη πλατφόρμα, οι εισβολείς μπορούν να διαχειρίζονται δυναμικά C2 domains, καθιστώντας το κακόβουλο λογισμικό πιο ανθεκτικό.

Προστασία από info-stealer malware

Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.

Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.

Αποφύγετε τη λήψη cracks, keygens και hacks παιχνιδιών από μη αξιόπιστες πηγές. To LummaC2 malware διανέμεται, συνήθως μέσω τέτοιων μεθόδων.

Δείτε επίσης: Η ομάδα CoralRaider προωθεί info-stealer malware μέσω επιθέσεων

Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν info-stealer.

Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.

Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.

Πηγή: gbhackers.com