Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA VERSIÓN DE LUMMAC STEALER DISTRIBUYE AMADEY BOT Y DESCARGA SOFTWARE MALICIOSO ADICIONAL

08/11/2023

NUEVA VERSIÓN DE LUMMAC STEALER DISTRIBUYE AMADEY BOT Y DESCARGA SOFTWARE MALICIOSO ADICIONAL
Se ha observado nueva actividad relacionada con el stealer conocido como LummaC, específicamente en su versión 19.07. En esta iteración, además de la recopilación de información del sistema y datos de navegadores, se ha observado la capacidad de cargar archivos maliciosos adicionales.

Descripción

En la campaña recientemente identificada, LummaC stealer se ha distribuido a través de correos electrónicos de phishing. Los adversarios están utilizando archivos ZIP disfrazados como instaladores de software para realizar la entrega. Estos archivos comprimidos contienen dos directorios adicionales que albergan diversas DLL legítimas, así como un archivo ejecutable denominado "Setup.exe". Este último contiene la carga útil de LummaC.

Una vez ejecutado, este malware tiene un impacto considerable, ya que es capaz de recopilar datos de navegadores web como Chrome, Mozilla Firefox, Microsoft Edge, entre otros. La información capturada incluye historiales de navegación, cookies, credenciales de inicio de sesión, datos de tarjetas de crédito y otros datos personales valiosos. Todos estos datos se exfiltran hacia su servidor de comando y control (C2). Además, LummaC Stealer lleva a cabo la descarga de Amadey Bot desde la siguiente URL: hxxp[:]//africatechs[.]com/Amdaygo[.]exe.

Vector de infección

Generalmente LummaC stealer se distribuye a través de sitios web phishing que se hacen pasar por software genuino, como también mediante correos electrónicos maliciosos; en la campaña identificada se observó la implementación de correos, donde los adversarios adjuntan archivos ZIP que contiene dos directorios con diversas DLL legítimas y un archivo ejecutable “setup.exe” que contiene la carga útil de esta amenaza y el cual ser ejecutado desencadena el flujo de infección de esta campaña observada.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

• Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuáles pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
• Proporcionar capacitación regular a los empleados y asociados sobre las amenazas de phishing y los métodos utilizados por los atacantes para distribuir malware.


Leer noticia: https://cyble.com/blog/lummac-stealer-leveraging-amadey-bot-to-deploy-sectoprat/