Σύμφωνα με μια πρόσφατη έρευνα της Trend Micro, εγκληματίες του κυβερνοχώρου διανέμουν τώρα το info-stealer malware Lumma Stealer μέσω του Discord, μιας δημοφιλούς πλατφόρμας συνομιλίας για online gamers, content creators και streamers. Οι ερευνητές εντόπισαν ότι οι κακόβουλοι χρήστες κάνουν κατάχρηση του content delivery network (CDN) του Discord για να φιλοξενήσουν και να διαδώσουν το Lumma Stealer, ενώ χρησιμοποιούν επίσης το application programming interface (API) για να δημιουργήσουν bots που μπορούν να επικοινωνούν με το κακόβουλο λογισμικό και να το ελέγχουν εξ αποστάσεως. Ορισμένα από αυτά τα bot στέλνουν, επίσης, κλεμμένα δεδομένα σε ιδιωτικούς διακομιστές ή κανάλια Discord.
Το Lumma Stealer είναι ένα λογισμικό κλοπής πληροφοριών, που κλέβει τα credentials χρήστη. Εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2022. Νωρίτερα φέτος, χρησιμοποιήθηκε για να στοχεύσει χρήστες του YouTube μέσω spear-phishing emails.
Το Lumma Stealer πωλείται ως υπηρεσία σε underground forums. Η υπηρεσία παρέχεται σε διαφορετικές τιμές. Κάθε πρόγραμμα (plan) προσφέρει διαφορετικές δυνατότητες, από τις οποίες εξαρτάται και η τιμή.
Δείτε επίσης: Οι Stealth Falcon hackers χρησιμοποιούν το νέο Deadglyph malware
Lumma Stealer: Τεχνική ανάλυση
Οι χειριστές του Lumma Stealer συνήθως χρησιμοποιούν τυχαίους λογαριασμούς Discord για να στέλνουν μηνύματα στα θύματα. Επίσης, χρησιμοποιούν παραβιασμένους λογαριασμούς Discord για να στοχεύσουν τις συνδέσεις των παραβιασμένων λογαριασμών. Οι επιτιθέμενοι προσπαθούν να ξεγελάσουν τα θύματα, ζητώντας βοήθεια για ένα project και προσφέροντας 10 $ ή ένα Discord Nitro boost, ως αντάλλαγμα. Τα Nitro boosts αποτελούν μέρος του Server Boosting της πλατφόρμας, που επιτρέπει στους χρήστες να αγοράζουν ειδικά προνόμια και λειτουργίες για συγκεκριμένα servers. Αυτά μπορούν να δελεάσουν τους χρήστες. Οι επιτιθέμενοι λένε ότι η βοήθεια που χρειάζονται, θα “πάρει” μόνο τέσσερα έως πέντε λεπτά από το χρόνο των θυμάτων. Εάν ένα θύμα συμφωνήσει με την προσφορά του εισβολέα, θα κληθεί να κατεβάσει ένα αρχείο.
Ένα από τα θύματα που εντόπισαν οι ερευνητές, είχε πρόσβαση στο phishing μήνυμα του Discord μέσω του Google Chrome σε έναν υπολογιστή εργασίας. Με την επιλογή του κακόβουλου συνδέσμου, ενεργοποίησε πολλαπλές λήψεις του κακόβουλου αρχείου “4_iMagicInventory_1_2_s.exe“, που περιέχει το κακόβουλο λογισμικό Lumma Stealer.
Οι ερευνητές λένε ότι κατά την εκτέλεση, το δείγμα αρχείου συνδέεται με ένα κακόβουλο domain, το gapi-node[.]io και προσπαθεί να κλέψει cryptocurrency wallets και δεδομένα προγράμματος περιήγησης από τον χρήστη.
Οι επιτιθέμενοι πίσω από το Lumma Stealer αναφέρουν σε hacking forums ότι το κακόβουλο λογισμικό έχει πλέον τη δυνατότητα να φορτώνει άλλα αρχεία, τα οποία οδηγούν σε άλλο κακόβουλο λογισμικό. Επίσης, λέγεται ότι έχει τη δυνατότητα να ανιχνεύει “bots” χρησιμοποιώντας τεχνητή νοημοσύνη. Οι ερευνητές υποθέτουν ότι ο όρος “bots” αναφέρεται σε ερευνητές ή περιβάλλοντα ανάλυσης και emulators.
Δείτε επίσης: Το infostealer malware είναι πρόδρομος των επιθέσεων ransomware
Οι ερευνητές συμβουλεύουν τους χρήστες να είναι προσεκτικοί όταν ανοίγουν συνδέσμους ή κάνουν λήψη αρχείων από άγνωστες πηγές, καθώς ενδέχεται να έχουν μολυνθεί από το Lumma Stealer ή άλλο παρόμοιο κακόβουλο λογισμικό.
Στη σύγχρονη ψηφιακή εποχή, η προστασία από κακόβουλο λογισμικό, το οποίο επιδιώκει την κλοπή προσωπικών δεδομένων, είναι ζωτικής σημασίας.
Ας δούμε κάποιες βασικές πρακτικές ασφαλείας:
Ενημέρωση και αναβάθμιση του λογισμικού
Ένας βασικός παράγοντας για την προστασία από το κακόβουλο λογισμικό είναι η συνεχής ενημέρωση και αναβάθμιση του λογισμικού. Πολλές φορές, τα κενά ασφαλείας που υπάρχουν σε παλαιότερες εκδόσεις του λογισμικού αποτελούν το κλειδί για μια επιτυχημένη επίθεση. Από την άλλη πλευρά, οι νεότερες εκδόσεις περιλαμβάνουν συνήθως τα πιο πρόσφατα μέτρα ασφαλείας που εμποδίζουν τη μόλυνση από κακόβουλο λογισμικόυ.
Χρήση λογισμικού ασφαλείας
Ένα άλλο σημαντικό βήμα είναι η χρήση αξιόπιστου λογισμικού προστασίας από ιούς. Αυτό το λογισμικό αναζητεί, αναγνωρίζει και αφαιρεί κακόβουλες εφαρμογές, ενώ παράλληλα παρέχει προστασία ενάντια σε νέες απειλές. Επιπλέον, πολλές φορές, αυτό το λογισμικό παρέχει προστασία real-time, γεγονός που σημαίνει ότι μπορεί να εντοπίσει και να αντιμετωπίσει κακόβουλο λογισμικό τη στιγμή που αυτό προσπαθεί να εισέλθει στο σύστημά σας.
Δείτε επίσης: Information stealers RedLine και Vidar: Τι τεχνικές χρησιμοποιούν;
Επιλογή ασφαλών κωδικών πρόσβασης
Τέλος, η επιλογή ασφαλών κωδικών πρόσβασης είναι απαραίτητη. Η χρήση ισχυρών και μοναδικών κωδικών μπορεί να παρέχει σημαντική προστασία κατά της κλοπής πληροφοριών. Αυτό σημαίνει ότι θα πρέπει να αποφεύγετε τη χρήση προφανών ή εύκολων κωδικών πρόσβασης, καθώς αυτοί μπορεί να καταλήξουν σε λάθος χέρια.
Τελικά, είναι σημαντικό να συνειδητοποιήσουμε ότι τα μέτρα ασφαλείας πρέπει να είναι ένα συνεχές και ευρύτατο κομμάτι της καθημερινής μας ζωής στο διαδίκτυο. Μόνο έτσι μπορούμε να είμαστε προστατευμένοι.
Πηγή: www.trendmicro.com
