Passiamo molto tempo a esaminare dati relativi al malware, intendo davvero molto tempo. E ci sono sicuramente cose che catturano la nostra attenzione di tanto in tanto, come un’infezione particolarmente significativa o una nuova variante familiare. Ma di recente, una tendenza ha attirato la nostra attenzione in modo insolito: un notevole e recente aumento della diffusione di un malware infostealer chiamato LummaC2 o Lumma Stealer.
Cos’è il LummaC2 infostealer?
LummaC2 è un infostealer ritenuto essere la creazione di un attore minaccia russo noto come “Shamel”. È stato osservato per la prima volta nella comunità della sicurezza intorno ad agosto del 2022 ed è offerto a potenziali acquirenti tramite Telegram e altri forum darknet come malware-as-a-service (MaaS).
Il venditore attualmente offre ai compratori tre livelli di prezzo: Esperto, Professionale e Aziendale, che sono stati pubblicizzati di recente con uno sconto durante una vendita a abbonamento avvenuta nell’agosto del 2023.
Il canale ufficiale di Telegram di LummaC2 vanta oltre 1.800 membri al momento della stesura, e l’amministratore (o gli amministratori) del canale pubblicano regolarmente aggiornamenti sul malware insieme a offerte da parte di gruppi criminali partner che offrono servizi, che vanno dalla decifrazione delle password dei portafogli crittografici alla vendita di kit di phishing. Sebbene ai membri del canale sia vietato pubblicare contenuti, campionando gli account dei membri e incrociando i loro ID utente con quelli trovati in altri canali, abbiamo scoperto che molti membri partecipano anche a canali di Telegram che offrono consigli per condurre frodi finanziarie e distribuire malware infostealer (incluso LummaC2), oltre a canali che vendono software utilizzati per oscurare il malware allo scopo di eludere i software antivirus.
Un attacco di LummaC2: Cosa può fare
Prima di entrare nei dati relativi all’incremento recente dei record di infezione di LummaC2 recuperati, è importante notare che il Lumma Stealer ha introdotto diverse nuove funzionalità che non erano disponibili in precedenza in altri infostealer di tipo “commodity”.
Nella nostra analisi di LummaC2, abbiamo riscontrato prove di esfiltrazione da vault di gestori di password locali, file di configurazione rubati da software desktop remoto, compreso AnyDesk, e persino tentativi automatizzati ma non riusciti di esfiltrazione di autenticazione a due fattori basata sul browser. Queste funzionalità si aggiungono alle caratteristiche più storicamente comuni dei malware infostealer, tra cui la capacità di esfiltrare file locali, rubare credenziali e cookie salvati e analizzare dati del browser memorizzati localmente, come gli autofill. Con un prezzo che parte da soli 225 dollari per l’abbonamento, si tratta di molte funzionalità e capacità considerando che il suo prezzo è in linea con quello di altri infostealer di tipo “commodity” come Raccoon o RedLine.
È anche importante notare che molti attacchi impiegano diversi programmi maligni diversi, ognuno con uno scopo diverso e un insieme di funzionalità specifiche. Sebbene LummaC2 sia pericoloso di per sé, la sua combinazione con altri malware di tipo “commodity” e strumenti open source è stata osservata come parte di numerose catene di infezione di successo, sulla base delle ricerche presso SpyCloud.
Come funziona LummaC2
LummaC2 ruba i dati delle estensioni da una varietà di browser basati su Chrome, tra cui Opera, Brave, Chrome, Chromium e altri. Il malware riesce a farlo individuando le “Impostazioni locali delle estensioni” per ciascun browser, che conserva le informazioni interne dell’estensione per molte estensioni.
Anche se LummaC2 ha una lunga lista di estensioni mirate che include estensioni per la gestione dei codici a doppia autenticazione (2FA), dai nostri test, LummaC2 non estrae effettivamente la maggior parte dei segreti dei codici 2FA, poiché questi segreti non sono memorizzati nelle “Impostazioni locali delle estensioni” dei browser Chrome. Tuttavia, LummaC2 ruba password e informazioni personali memorizzate nelle estensioni per una vasta gamma di strumenti crittografici. Inoltre, poiché LummaC2 decifra in modo programmatico i file di archiviazione interni .ldb di Chrome, in futuro potrebbe iniziare ad estrarre i segreti dei codici 2FA memorizzati localmente su un dispositivo della vittima, proprio come avviene con password o portafogli crittografici.
Dall’analisi dei registri raccolti da SpyCloud, abbiamo scoperto che LummaC2 prende di mira anche le applicazioni desktop remote, probabilmente come mezzo per ottenere persistenza su un dispositivo. I registri di LummaC2 sono utilmente etichettati con le corrispondenti configurazioni trovate in un registro specifico, come “[Autenticatore]”, o con le applicazioni trovate sul dispositivo della vittima, come software per portafogli crittografici, consentendo un’identificazione rapida da parte di chi distribuisce il malware, in modo simile a come i popolari software di controllo cambiano i nomi delle cartelle di registro per riflettere i tipi di dati disponibili per lo sfruttamento.
LummaC2 è attualmente mantenuto attivamente dal suo sviluppatore, che ha rilasciato un aggiornamento nel settembre 2023, promettendo agli acquirenti miglioramenti infrastrutturali e di stabilità.
Sulla base dei nostri risultati e degli aggiornamenti frequenti rilasciati dagli autori del malware, è probabile che le future versioni di LummaC2 introdurranno ulteriori funzionalità capaci di estrarre ulteriori informazioni sensibili dai dispositivi delle vittime.
Analisi di LummaC2: Uno sguardo alla sua tendenza di crescita esponenziale
Nel corso degli ultimi sei mesi, abbiamo osservato un rapido aumento dei record del malware LummaC2 nel database recaptured di SpyCloud. Come mostrato qui, il conteggio totale dei record unici del malware LummaC2 è passato da quasi inesistente a rappresentare quasi un quarto degli ingressi settimanali di SpyCloud per variante identificata, il che rappresenta un aumento del 2000%. Al di sopra di LummaC2, si trovavano solo RedLine, Raccoon e Vidar, con StealC, un altro malware con molte funzionalità di furto, che ha guadagnato popolarità nello stesso periodo.
Inoltre, abbiamo analizzato i dati esfiltrati da LummaC2 in base alla dimensione totale e abbiamo scoperto che, in media, un registro derivato da un’infezione di successo di LummaC2 era quasi tre volte più grande rispetto a un registro comparabile da altri infostealer. Durante il periodo sopra menzionato, i registri derivati da infezioni di LummaC2 avevano una dimensione mediana (includendo tutti i metadati e i file esfiltrati) di 1,13 MB, mentre i registri di RedLine, Vidar e Raccoon avevano una dimensione mediana di 394,77 KB.
Cosa significa tutto ciò per i team di sicurezza?
Al momento, non possiamo giungere a conclusioni definitive sulla causa dell’aumento dei record di infezione di LummaC2, ma possiamo affermare che i team di sicurezza dovrebbero prestare particolare attenzione a questa minaccia in crescita.
A causa della quantità di funzionalità di furto di informazioni e del potenziale impatto, raccomandiamo di monitorare attivamente le infezioni di LummaC2 per identificare dipendenti o clienti infetti e adottare le misure necessarie di post-infezione per chiudere potenziali punti di ingresso nella vostra organizzazione.
La rapida diffusione e le nuove funzionalità introdotte da LummaC2 lo rendono una minaccia significativa, e il monitoraggio costante e le azioni di mitigazione sono essenziali per proteggere le informazioni sensibili e i dati delle organizzazioni.
Scopri la pagina del vendor sul nostro sito
