Сообщение администратору
Имя:
Почта:
Сообщение:
Вход на сайт
Логин:
Пароль:

Поддержка  •  Дневник  •  О сайте  •  Реклама  •  Поставить баннер  •  Прислать  •  Хроника  •  Translate  •  Рекомендованное  •  Написать администратору Гости: 13    Участники: 0 Авторизация Авторизация   Регистрация 
Метод Научного Тыка
RULVEN
Поиск  
Blackball iMag | интернет-журнал
RSS-лента
Поделиться ссылкой:
Каталог


Начало » Новости » LummaC2 и Steam: неожиданный союз в мире киберугроз

LummaC2 и Steam: неожиданный союз в мире киберугрозновости


LummaC2 и Steam: неожиданный союз в мире киберугроз
Добавлено: Пт 26.07.2024 • Sergeant
Источник: источник
Просмотров: 34
Комментарии: 0


Для чего хакеры взяли на прицел популярную геймерскую платформу?

Исследователи безопасности из компании AhnLab Security (ASEC) недавно выявили новый вариант вредоносного ПО LummaC2, использующего популярную игровую платформу Steam в качестве C2-сервера. Новый метод значительно повышает угрозу для пользователей и организаций по всему миру.

LummaC2 представляет собой инфостилер, который активно распространяется под видом нелегальных программ, таких как кряки, кейгены и игровые читы. Эти вредоносные файлы распространяются через множество каналов, включая YouTube, LinkedIn и даже рекламу в поисковых системах с использованием техники, известной как SEO Poisoning.

Недавно LummaC2 также замаскировалось под легитимные приложения, такие как Notion, Slack и Capcut, расширяя таким образом свою аудиторию. По данным ASEC, изначально LummaC2 распространялся в виде одного исполняемого файла (EXE) или через технику DLL Sideloading, где вредоносная DLL сжималась вместе с легитимным EXE-файлом. Этот метод позволял вирусу оставаться незаметным для многих систем безопасности.

В новом варианте LummaC2 использует платформу Steam для получения информации о C2-доменах, хотя ранее вся информация о C2-инфраструктуре была встроена в сам образец вредоносного ПО. В связи с этим нововведением злоумышленники теперь могут динамически изменять C2-домены, используя при этом легитимную платформу, что увеличивает устойчивость вируса и снижает вероятность его обнаружения.

Справедливости ради стоит отметить, что данный метод не является полностью новым. На самом деле, он повторяет стратегию, ранее использованную вирусом Vidar, который также эксплуатировал различные легитимные платформы, такие как TikTok, Mastodon и Telegram для получения информации о C2-инфраструктуре.

При выполнении LummaC2 расшифровывает свои внутренние зашифрованные строки для получения информации о C2-доменах. Если все встроенные домены недоступны, вирус инициирует процедуру подключения к Steam. Необходимый URL в пределах игровой платформы хранится прямо в исполняемом коде.

Записанный URL указывает на конкретную страницу профиля аккаунта Steam, предположительно созданную злоумышленником. Вредоносное ПО получает строку, анализируя тег «actual_persona_name» на этой странице, которая затем расшифровывается с использованием шифра Цезаря для получения актуального C2-домена.

Использование легитимного сервиса, такого как Steam, с его огромной базой пользователей — помогает снизить подозрения и позволяет злоумышленнику легко изменить C2-домен при необходимости. Эта гибкость увеличивает вероятность успеха атаки и делает вирус труднее обнаруживаемым для систем безопасности.

После расшифровки домена LummaC2 подключается к C2-серверу и загружает зашифрованный файл настроек JSON. Этот файл также расшифровывается, и вирус выполняет вредоносные действия на основе заданных настроек. Украденная информация включает в себя данные о программах для хранения паролей, браузеров, VPN, FTP и многих других. Она отправляется на C2-сервер хакеров по завершению работы вредоноса.

Чтобы уменьшить риск, связанный с LummaC2 и аналогичным вредоносным ПО, организациям и рядовым пользователям рекомендуется:

  1. Избегать загрузки нелегального ПО из ненадёжных источников.
  2. Использовать только надёжное антивирусное ПО.
  3. Регулярно обновлять программное обеспечение для защиты от известных уязвимостей.
  4. Обучать пользователей о рисках скачивания и запуска неизвестных файлов.
  5. Мониторить сетевой трафик для обнаружения необычных паттернов, которые могут указывать на заражение вирусом.

Все эти меры помогут лучше защититься от сложных тактик LummaC2 и других развивающихся киберугроз.



Мне нравится 0   Мне не нравится 0



Комментарии

Чтобы добавить видео с YouTube, нужно написать [@youtube=xxxxx] , где xxxxx – ID видео.


Комментарии: 0
Нет ни одного комментария.

Новое
Когда устал от алгоритмов: Ревью кода на собеседовании вчера, 09:04
Когда устал от алгоритмов: Ревью кода на собеседовании
Вирусы на Android: подробное руководство по обеспечению безопасности 2 дня назад, 10:15
Вирусы на Android: подробное руководство по обеспечению безопасности
2 дня назад, 09:08
10 не самых очевидных причин, чтобы уволиться
Искусственный мозг против квантового компьютера: кто возьмет верх? 3 дня назад, 17:15
Искусственный мозг против квантового компьютера: кто возьмет верх?
Зал короля Артура оказался неолитическим загоном для скота Сб 09.11.2024
Зал короля Артура оказался неолитическим загоном для скота
10 лучших салатов с кукурузой Сб 09.11.2024
10 лучших салатов с кукурузой
10 вкусных салатов с фасолью, которые хочется готовить снова и снова Сб 02.11.2024
10 вкусных салатов с фасолью, которые хочется готовить снова и снова
Пишем одностраничное приложение с помощью htmx Вт 29.10.2024
Пишем одностраничное приложение с помощью htmx
10 аппетитных салатов с консервированным тунцом Сб 26.10.2024
10 аппетитных салатов с консервированным тунцом
Двухфакторная аутентификация: что это и зачем она нужна Чт 24.10.2024
Двухфакторная аутентификация: что это и зачем она нужна
Книги
Blazor in Action Вт 04.06.2024
Blazor in Action
Год: 2022
Security for Containers and Kubernetes Вт 28.05.2024
Security for Containers and Kubernetes
Год: 2023
Designing Data-Intensive Applications Вт 14.05.2024
Designing Data-Intensive Applications
Год: 2017
Fundamentals of Software Architecture Вт 07.05.2024
Fundamentals of Software Architecture
Год: 2020
Разработано на основе BlackNight CMS
Release v.2024-11-13
© 2000–2024 Blackball
Дизайн & программирование:
О сайтеРеклама
Visitors
Web-site performed by Sergey Drozdov
BlackballРекламаСтатистикаПоддержка
МузыкаПлейлистыКиноВидеоИгрыАудиоПрограммыСтатьиКартинкиЮморФорумДневник сайтаПрислать контентРекомендованное