“Lumma Infostealer กลับมาอีกครั้ง – แพร่ผ่านซอฟต์แวร์เถื่อน ใช้ NSIS, AutoIt และ MEGA Cloud ขโมยข้อมูลทั่วโลก!”
นักวิจัยจาก Genians Security Center (GSC) พบแคมเปญใหม่ของมัลแวร์ชื่อดัง Lumma Infostealer ที่ใช้เทคนิคซับซ้อนและแพร่กระจายผ่านซอฟต์แวร์เถื่อน โดยใช้เครื่องมืออย่าง NSIS installer, สคริปต์ AutoIt และโฮสต์ไฟล์บน MEGA Cloud เพื่อหลบเลี่ยงการตรวจจับ
Lumma เป็นมัลแวร์แบบ Malware-as-a-Service (MaaS) ที่ใครก็สามารถซื้อไปใช้ได้ ไม่ต้องมีทักษะเขียนโค้ด แค่จ่ายเงินก็ได้เครื่องมือพร้อมใช้งาน ซึ่งทำให้แฮกเกอร์หน้าใหม่สามารถเปิดแคมเปญโจมตีได้ทันที
แคมเปญล่าสุดเริ่มจากเว็บไซต์ปลอมที่แจกซอฟต์แวร์เถื่อน เมื่อเหยื่อคลิกดาวน์โหลด จะถูก redirect ไปยังไฟล์ ZIP ที่เข้ารหัสซึ่งมี NSIS installer ชื่อ setup.exe อยู่ข้างใน ตัว installer นี้จะเรียกใช้ AutoIt script ที่ถูก obfuscate ไว้อย่างหนัก และใช้เทคนิค Process Hollowing เพื่อแอบรัน Lumma Infostealer โดยปลอมตัวเป็นไฟล์ธรรมดา
เมื่อรันสำเร็จ มัลแวร์จะขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP, และ crypto wallets แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่อยู่ในโดเมน .su ซึ่งเป็นโดเมนที่นิยมใช้ในแคมเปญรัสเซีย
Lumma ถูกจัดเป็นภัยระดับสูง เพราะเป็นจุดเริ่มต้นของการโจมตีแบบ ransomware และการยึดบัญชี (account takeover) โดยข้อมูลที่ขโมยไปจะถูกขายในตลาดมืดหรือใช้โจมตีองค์กรต่อ
รายละเอียดแคมเปญ Lumma Infostealer
ใช้ NSIS installer และ AutoIt script ที่ถูก obfuscate
แพร่ผ่านไฟล์ซอฟต์แวร์เถื่อนจากเว็บไซต์ปลอม
ใช้ MEGA Cloud เป็นแหล่งโฮสต์ payload
ใช้ Process Hollowing เพื่อแอบรันมัลแวร์
ขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP และ crypto wallets
ลักษณะของ Lumma Infostealer
เป็น Malware-as-a-Service (MaaS) ที่ใครก็ซื้อใช้ได้
ไม่ต้องมีทักษะเขียนโค้ดก็เปิดแคมเปญโจมตีได้
มี modular design ที่ปรับแต่งได้ตามความต้องการ
ใช้โดเมน .su สำหรับเซิร์ฟเวอร์ C2
ข้อมูลที่ขโมยไปถูกขายหรือใช้โจมตีองค์กรต่อ
เทคนิคการหลบเลี่ยงการตรวจจับ
ใช้ไฟล์ ZIP ที่เข้ารหัสเพื่อหลบการสแกน
ใช้ AutoIt script ที่มี dummy code และ ASCII encoding
ใช้ Process Hollowing เพื่อปลอมตัวเป็นโปรเซสธรรมดา
เปลี่ยน URL และไฟล์ payload บ่อยเพื่อหลบ blacklist
https://securityonline.info/lumma-infostealer-maas-campaign-uses-nsis-autoit-and-mega-cloud-to-steal-credentials-via-pirated-software/
นักวิจัยจาก Genians Security Center (GSC) พบแคมเปญใหม่ของมัลแวร์ชื่อดัง Lumma Infostealer ที่ใช้เทคนิคซับซ้อนและแพร่กระจายผ่านซอฟต์แวร์เถื่อน โดยใช้เครื่องมืออย่าง NSIS installer, สคริปต์ AutoIt และโฮสต์ไฟล์บน MEGA Cloud เพื่อหลบเลี่ยงการตรวจจับ
Lumma เป็นมัลแวร์แบบ Malware-as-a-Service (MaaS) ที่ใครก็สามารถซื้อไปใช้ได้ ไม่ต้องมีทักษะเขียนโค้ด แค่จ่ายเงินก็ได้เครื่องมือพร้อมใช้งาน ซึ่งทำให้แฮกเกอร์หน้าใหม่สามารถเปิดแคมเปญโจมตีได้ทันที
แคมเปญล่าสุดเริ่มจากเว็บไซต์ปลอมที่แจกซอฟต์แวร์เถื่อน เมื่อเหยื่อคลิกดาวน์โหลด จะถูก redirect ไปยังไฟล์ ZIP ที่เข้ารหัสซึ่งมี NSIS installer ชื่อ setup.exe อยู่ข้างใน ตัว installer นี้จะเรียกใช้ AutoIt script ที่ถูก obfuscate ไว้อย่างหนัก และใช้เทคนิค Process Hollowing เพื่อแอบรัน Lumma Infostealer โดยปลอมตัวเป็นไฟล์ธรรมดา
เมื่อรันสำเร็จ มัลแวร์จะขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP, และ crypto wallets แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่อยู่ในโดเมน .su ซึ่งเป็นโดเมนที่นิยมใช้ในแคมเปญรัสเซีย
Lumma ถูกจัดเป็นภัยระดับสูง เพราะเป็นจุดเริ่มต้นของการโจมตีแบบ ransomware และการยึดบัญชี (account takeover) โดยข้อมูลที่ขโมยไปจะถูกขายในตลาดมืดหรือใช้โจมตีองค์กรต่อ
รายละเอียดแคมเปญ Lumma Infostealer
ใช้ NSIS installer และ AutoIt script ที่ถูก obfuscate
แพร่ผ่านไฟล์ซอฟต์แวร์เถื่อนจากเว็บไซต์ปลอม
ใช้ MEGA Cloud เป็นแหล่งโฮสต์ payload
ใช้ Process Hollowing เพื่อแอบรันมัลแวร์
ขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP และ crypto wallets
ลักษณะของ Lumma Infostealer
เป็น Malware-as-a-Service (MaaS) ที่ใครก็ซื้อใช้ได้
ไม่ต้องมีทักษะเขียนโค้ดก็เปิดแคมเปญโจมตีได้
มี modular design ที่ปรับแต่งได้ตามความต้องการ
ใช้โดเมน .su สำหรับเซิร์ฟเวอร์ C2
ข้อมูลที่ขโมยไปถูกขายหรือใช้โจมตีองค์กรต่อ
เทคนิคการหลบเลี่ยงการตรวจจับ
ใช้ไฟล์ ZIP ที่เข้ารหัสเพื่อหลบการสแกน
ใช้ AutoIt script ที่มี dummy code และ ASCII encoding
ใช้ Process Hollowing เพื่อปลอมตัวเป็นโปรเซสธรรมดา
เปลี่ยน URL และไฟล์ payload บ่อยเพื่อหลบ blacklist
https://securityonline.info/lumma-infostealer-maas-campaign-uses-nsis-autoit-and-mega-cloud-to-steal-credentials-via-pirated-software/
🕵️♂️ “Lumma Infostealer กลับมาอีกครั้ง – แพร่ผ่านซอฟต์แวร์เถื่อน ใช้ NSIS, AutoIt และ MEGA Cloud ขโมยข้อมูลทั่วโลก!”
นักวิจัยจาก Genians Security Center (GSC) พบแคมเปญใหม่ของมัลแวร์ชื่อดัง Lumma Infostealer ที่ใช้เทคนิคซับซ้อนและแพร่กระจายผ่านซอฟต์แวร์เถื่อน โดยใช้เครื่องมืออย่าง NSIS installer, สคริปต์ AutoIt และโฮสต์ไฟล์บน MEGA Cloud เพื่อหลบเลี่ยงการตรวจจับ
Lumma เป็นมัลแวร์แบบ Malware-as-a-Service (MaaS) ที่ใครก็สามารถซื้อไปใช้ได้ ไม่ต้องมีทักษะเขียนโค้ด แค่จ่ายเงินก็ได้เครื่องมือพร้อมใช้งาน ซึ่งทำให้แฮกเกอร์หน้าใหม่สามารถเปิดแคมเปญโจมตีได้ทันที
แคมเปญล่าสุดเริ่มจากเว็บไซต์ปลอมที่แจกซอฟต์แวร์เถื่อน เมื่อเหยื่อคลิกดาวน์โหลด จะถูก redirect ไปยังไฟล์ ZIP ที่เข้ารหัสซึ่งมี NSIS installer ชื่อ setup.exe อยู่ข้างใน ตัว installer นี้จะเรียกใช้ AutoIt script ที่ถูก obfuscate ไว้อย่างหนัก และใช้เทคนิค Process Hollowing เพื่อแอบรัน Lumma Infostealer โดยปลอมตัวเป็นไฟล์ธรรมดา
เมื่อรันสำเร็จ มัลแวร์จะขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP, และ crypto wallets แล้วส่งไปยังเซิร์ฟเวอร์ C2 ที่อยู่ในโดเมน .su ซึ่งเป็นโดเมนที่นิยมใช้ในแคมเปญรัสเซีย
Lumma ถูกจัดเป็นภัยระดับสูง เพราะเป็นจุดเริ่มต้นของการโจมตีแบบ ransomware และการยึดบัญชี (account takeover) โดยข้อมูลที่ขโมยไปจะถูกขายในตลาดมืดหรือใช้โจมตีองค์กรต่อ
✅ รายละเอียดแคมเปญ Lumma Infostealer
➡️ ใช้ NSIS installer และ AutoIt script ที่ถูก obfuscate
➡️ แพร่ผ่านไฟล์ซอฟต์แวร์เถื่อนจากเว็บไซต์ปลอม
➡️ ใช้ MEGA Cloud เป็นแหล่งโฮสต์ payload
➡️ ใช้ Process Hollowing เพื่อแอบรันมัลแวร์
➡️ ขโมยข้อมูลจากเบราว์เซอร์, อีเมล, VPN, RDP และ crypto wallets
✅ ลักษณะของ Lumma Infostealer
➡️ เป็น Malware-as-a-Service (MaaS) ที่ใครก็ซื้อใช้ได้
➡️ ไม่ต้องมีทักษะเขียนโค้ดก็เปิดแคมเปญโจมตีได้
➡️ มี modular design ที่ปรับแต่งได้ตามความต้องการ
➡️ ใช้โดเมน .su สำหรับเซิร์ฟเวอร์ C2
➡️ ข้อมูลที่ขโมยไปถูกขายหรือใช้โจมตีองค์กรต่อ
✅ เทคนิคการหลบเลี่ยงการตรวจจับ
➡️ ใช้ไฟล์ ZIP ที่เข้ารหัสเพื่อหลบการสแกน
➡️ ใช้ AutoIt script ที่มี dummy code และ ASCII encoding
➡️ ใช้ Process Hollowing เพื่อปลอมตัวเป็นโปรเซสธรรมดา
➡️ เปลี่ยน URL และไฟล์ payload บ่อยเพื่อหลบ blacklist
https://securityonline.info/lumma-infostealer-maas-campaign-uses-nsis-autoit-and-mega-cloud-to-steal-credentials-via-pirated-software/
0 ความคิดเห็น
0 การแบ่งปัน
36 มุมมอง
0 รีวิว
English