Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVO MÉTODO DE DISTRIBUCIÓN DE LUMMA STEALER

08/02/2024

NUEVO MÉTODO DE DISTRIBUCIÓN DE LUMMA STEALER
Mediante el monitoreo realizado por el equipo del Csirt Financiero a través de diversas fuentes de información, se identificó una nueva actividad relacionada con el stealer conocido como Lumma o LummaC2 donde se distribuye a través de la ejecución de archivos EXE legítimos que poseen firmas válidas, junto con una DLL maliciosa que se encuentra en el mismo directorio.

Descripción

El método de distribución de este stealer a menudo implica la utilización de archivos disfrazados como Cracks y Keygens para software comercial. Recientemente, esta forma de distribución ha experimentado un aumento significativo. Los sitios maliciosos ahora ocupan los primeros lugares en los resultados de búsqueda y a menudo ofrecen la descarga de un archivo RAR comprimido y protegido con contraseña. Esta contraseña se proporciona en el nombre del archivo o en la página de distribución. Al descomprimir este archivo, se crean los siguientes componentes:

  • Tres carpetas denominadas demux, lua y skin.
  • Dos archivos DLL con los nombres libvlc.dll y libvlccore.dll.
  • Una imagen con el nombre ironwork.tiff.
  • Un archivo ejecutable con el nombre Setup.exe.

Es importante destacar que los archivos "Setup.exe" y "libvlc.dll" son componentes legítimos del conocido software "VLC Media Player" y poseen firmas válidas. Sin embargo, el archivo "libvlccore.dll" es una versión modificada y maliciosa de una DLL, mientras que las carpetas se incluyen para disfrazar la naturaleza maliciosa del archivo, aunque no son necesarios para la ejecución de la amenaza.

Vector de infección

Esta campaña relacionada con Lumma Stealer se enfoca en la distribución de un archivo comprimido en formato RAR. Este archivo comprimido contiene varios elementos, incluyendo un archivo ejecutable en formato .EXE, una DLL maliciosa, así como una imagen que contiene código malicioso. Estos componentes desencadenan y facilitan el proceso de infección, permitiendo que la amenaza evada la detección en los sistemas comprometidos. La combinación de estos archivos y la utilización de un archivo de imagen como portador de código malicioso es parte de la estrategia empleada para eludir las medidas de seguridad y aumentar la eficacia de la distribución de Lumma Stealer.  

Recomendaciones

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuáles pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
  • Mantener el software y sistema operativo actualizados con los últimos parches de seguridad para protegerlos contra vulnerabilidades conocidas.
  • Evitar descargar software de fuentes no confiables. Adquirir software solo de sitios web oficiales y evitar el uso de cracks o keygens para software comercial.
  • Dada la capacidad de "Lumma" para utilizar archivos EXE legítimos, se recomienda extrema precaución al ejecutar cualquier archivo EXE, especialmente si se encuentra en el mismo directorio que archivos DLL sospechosos.

Leer noticia: https://asec.ahnlab.com/en/58319