Эксперты обнаружили, что хакеры начали использовать игровой сервис Steam в качестве сервиса управления и контроля

Вредонос в последнее время стал маскироваться под легитимное ПО

1 мин.
Эксперты обнаружили, что хакеры начали использовать игровой сервис Steam в качестве сервиса управления и контроля

Специалисты по информационной безопасности профильной компании AhnLab Security сообщили об обнаружении нового варианта вредоносного программного обеспечения LummaC2, обладающего необычным функционалом – софт использует популярный игровой сервис Steam в качестве C2-сервера.

💡
C2-сервер – это термин, используемый в кибербезопасности, который обозначает командно-контрольный сервер

Эксперты рассказывают, что вредонос LummaC2 является инфостилером, активно распространяющимся под видом различного нелегального софта для геймеров, такого как всевозможные читы, кряки, тренеры, кейгены и многое другое. Распространение подобных вредоносных файлов происходит через различные каналы, в том числе популярные сервисы YouTube, LinkedIn и даже через рекламные баннеры в популярных поисковых системах с применением метода SEO Poisoning.

Аналитики также указывают на то, что вредонос LummaC2 в последнее время стал маскироваться под различные легитимные программы, например Notion, Slack и Capcut, что свидетельствует о расширении аудитории, на которую проводятся атаки со стороны хакеров. По информации компании AhnLab Security, изначально LummaC2 злоумышленники распространяли в виде одного исполняемого файла или с помощью метода DLL Sideloading.

В процессе выполнения LummaC2 расшифровывал свои внутренние зашифрованные строки, чтобы получить информацию о C2-доменах. В случае, если встроенные домены были недоступны, вредонос инициировал процесс подключения к платформе Steam. Требуемый URL-адрес в пределах игрового сервиса хранился непосредственно в исполняемом коде. Записанный URL-адрес указывал прямо на конкретную страницу аккаунта в сервисе Steam, которая предположительно была создана предварительно киберпреступниками. В результате вредонос получал строку в процессе анализа тега «actual_persona_name» на этой странице, которая затем расшифровывалась с применением шифра Цезаря для получения актуального C2-домена.

По словам аналитиков, использование столь крупного легитимного сервиса с огромной базой пользователей, насчитывающей несколько сотен миллионов человек, помогает киберпреступникам существенно снижать подозрения и с лёгкостью менять C2-домен при необходимости.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube