Специалисты по информационной безопасности профильной компании AhnLab Security сообщили об обнаружении нового варианта вредоносного программного обеспечения LummaC2, обладающего необычным функционалом – софт использует популярный игровой сервис Steam в качестве C2-сервера.
Эксперты рассказывают, что вредонос LummaC2 является инфостилером, активно распространяющимся под видом различного нелегального софта для геймеров, такого как всевозможные читы, кряки, тренеры, кейгены и многое другое. Распространение подобных вредоносных файлов происходит через различные каналы, в том числе популярные сервисы YouTube, LinkedIn и даже через рекламные баннеры в популярных поисковых системах с применением метода SEO Poisoning.
Аналитики также указывают на то, что вредонос LummaC2 в последнее время стал маскироваться под различные легитимные программы, например Notion, Slack и Capcut, что свидетельствует о расширении аудитории, на которую проводятся атаки со стороны хакеров. По информации компании AhnLab Security, изначально LummaC2 злоумышленники распространяли в виде одного исполняемого файла или с помощью метода DLL Sideloading.
В процессе выполнения LummaC2 расшифровывал свои внутренние зашифрованные строки, чтобы получить информацию о C2-доменах. В случае, если встроенные домены были недоступны, вредонос инициировал процесс подключения к платформе Steam. Требуемый URL-адрес в пределах игрового сервиса хранился непосредственно в исполняемом коде. Записанный URL-адрес указывал прямо на конкретную страницу аккаунта в сервисе Steam, которая предположительно была создана предварительно киберпреступниками. В результате вредонос получал строку в процессе анализа тега «actual_persona_name» на этой странице, которая затем расшифровывалась с применением шифра Цезаря для получения актуального C2-домена.
По словам аналитиков, использование столь крупного легитимного сервиса с огромной базой пользователей, насчитывающей несколько сотен миллионов человек, помогает киберпреступникам существенно снижать подозрения и с лёгкостью менять C2-домен при необходимости.
Ещё по теме:
- Компания по кибербезопасности случайно наняла на работу северокорейского хакера
- Ocenaudio – приложение для быстрого редактирование аудио получило обновление
- Гильдия актёров США начала забастовку против игровых компаний