- Malware de Stealer Lumma se esconde en un sitio de Telegram Premium falso, que se inicia sin clics de usuario
- Ejecutable utiliza la ofuscación de criptores para evitar la mayoría de las técnicas tradicionales de escaneo antivirus por completo
- El malware se conecta a servidores de telegrama real mientras envía en secreto datos robados a dominios ocultos
Una campaña maliciosa está dirigida a los usuarios a través de un sitio web fraudulento de Telegram Premium, ofreciendo una variante peligrosa del malware Lumma Stealer.
Un informe de Cyfirma afirma que el dominio TelegramPremium[.]La aplicación imita de cerca la marca Legitimate Telegram Premium y aloja un archivo llamado Start.exe.
Este ejecutable, construido en C/C ++, se descarga automáticamente al visitar el sitio, no requiere interacción del usuario.
Una mirada más cercana a la entrega de malware
Una vez ejecutado, recolecta datos confidenciales, incluidas las credenciales almacenadas en el navegador, los detalles de la billetera de criptomonedas e información del sistema, aumentando los riesgos como el robo de identidad.
El sitio falso funciona como un mecanismo de descarga de transmisión, un método donde las cargas útiles maliciosas se entregan automáticamente sin consentimiento explícito.
La alta entropía del ejecutable sugiere el uso de un criptor para la ofuscación, lo que complica la detección de las suites de seguridad tradicionales.
El análisis estático muestra que el malware importa numerosas funciones de API de Windows, lo que le permite manipular archivos, modificar el registro, acceder al portapapeles, ejecutar cargas útiles adicionales y evadir la detección.
El malware también inicia consultas DNS a través del servidor DNS público DNS de Google, eludiendo los controles internos de la red.
Se comunica con servicios legítimos como Telegram y Steam Community para posibles fines de comando y control y con dominios generados algorítmicamente para evadir los derribos de dominios.
Estas técnicas permiten que el malware mantenga los canales de comunicación mientras evita la detección por firewalls y herramientas de monitoreo convencionales.
El dominio involucrado está recientemente registrado, con características de alojamiento que sugieren que se estableció para una actividad dirigida de corta duración.
El malware elimina múltiples archivos disfrazados en el directorio % TEMP %, incluidas las cargas útiles cifradas disfrazadas de archivos de imagen.
Algunos luego se renombran y ejecutan como scripts ofuscados, lo que permite que el malware limpie sus rastros.
Utiliza funciones como el sueño para retrasar la ejecución y LoadLibraryExw para cargar sigilosamente DLL, lo que dificulta que los analistas detecten su presencia durante la inspección inicial.
Mantenerse a salvo de las amenazas de esta naturaleza requiere una combinación de medidas técnicas y conciencia del usuario.
Cómo mantenerse a salvo
- Las organizaciones deben implementar soluciones de detección y respuesta de puntos finales capaces de identificar patrones de comportamiento sospechosos asociados con Lumma Stealer
- Bloquear todo el acceso a dominios maliciosos
- Hacer cumplir controles de descarga estrictos para evitar la entrega de carga útil
- La autenticación multifactor es esencial para limitar el daño si se comprometen las credenciales
- La rotación de credenciales regulares ayuda a reducir el riesgo de acceso a largo plazo por parte de los atacantes
- El monitoreo continuo para una actividad sospechosa permite una detección y respuesta más rápidas a posibles violaciones
