- Lumma Steyler Malware는 가짜 Telegram 프리미엄 사이트에 숨어 있습니다. 사용자는 클릭하지 않고 켜집니다.
- 실행 파일 대부분 대부분의 전통적인 안티 -안티 바이러스 스캐닝 기술을 우회하기 위해 사용하는 암호화 차단
- 맬웨어는 도난당한 데이터를 비밀리에 숨겨진 도메인으로 전송하면서 실제 전보 서버에 연결합니다.
악의적 인 프로모션은 Telegram Premium 웹 사이트를 통해 사용자를 대상으로하여 위험한 Lumma Steeller Malware의 위험한 변형을 제공합니다.
Saifima의 보고서에 따르면 Domain Telegramprime (.)은 유효한 Telegram 프리미엄 브랜드를 복제하고 start.xe라는 파일을 호스한다고 주장합니다.
C/C ++에 구축 된이 실행 파일은 사이트를 본 후 자동으로 다운로드되며 사용자 상호 작용이 필요하지 않습니다.
맬웨어 전달을 면밀히 봅니다
일단 실행되면 브라우저 유도 자격 증명, 암호 화폐 지갑 세부 정보 및 시스템 정보로 민감한 데이터를 수집하면 신원 도용의 위험이 높아집니다.
가짜 사이트는 오염 된 페이로드가 명백한 동의없이 자동으로 제공되는 방법 인 드라이브 바이 다운로드 프로세스 역할을합니다.
실행 가능한 높은 엔트로피는 소진을 위해 암호화를 사용하는 것을 제안하며, 이는 전통적인 형사 보호 슈트의 탐지를 복잡하게 만듭니다.
정적 분석에 따르면 맬웨어는 많은 Windows API 기능을 가져오고 파일을 조작하고, 레지스트리를 수정하고, 클립 보드에 액세스하고, 추가 페이로드를 수행하고 감지를 방지 할 수 있습니다.
Amware는 또한 Google의 공개 DNS 서버를 통해 DNS 쿼리를 시작하여 내부 네트워크 컨트롤을 차단합니다.
그것은 와이어 및 스팀 커뮤니티의 잠재적 명령 및 제어 목적을 피하고 도메인 Tektown을 피하기 위해 알고리즘이 생성 된 도메인과 합법적 인 서비스에 연락합니다.
이러한 기술을 통해 맬웨어는 방화벽 및 기존의 관찰 장비의 탐지를 피하면서 통신 채널을 유지할 수 있습니다.
참여 도메인은 새로 등록되며 호스팅 기능은 짧은 대상 활동을 위해 설정되었습니다.
맬웨어는 % temp % 디렉토리에 여러 위장 파일을 삭제하고, 이미지 파일로 마스킹을 통해 암호화 된 유료 -로드입니다.
일부는 나중에 불필요한 스크립트로 이름이 바뀌고 편집되어 맬웨어가 자국을 청소할 수 있습니다.
DLL의 실행과 LoadLibraxExw의 기능을 효과적으로 사용하여 수면 기능의 기능을 지연시켜 초기 검사 중에 분석가에게 존재가 더 어려워집니다.
이러한 특성의 위협으로부터 안전하려면 기술적 측정과 사용자 인식의 조합이 필요합니다.
안전을 유지하는 방법
- 조직의 마지막 요점은 식별을 위해 적용되어야하며 응답 솔루션은 Lumma Steeleller와 관련된 의심스러운 행동 유형을 식별 할 수 있습니다.
- 악의적 인 도메인에 대한 모든 액세스를 차단하십시오
- 급여 -선집 배송을 방지하기 위해 엄격한 다운로드 컨트롤을 적용하십시오
- 자격 증명이 손상되면 손상을 제한하려면 다중 인증 인증이 필수적입니다.
- 정기적 인 자격 증명은 침략자의 침입자의 장기 접근 위험을 줄이는 데 도움이됩니다.
- 의심스러운 활동에 대한 중단없는 관찰에 대한 빠른 탐지 및 가능한 위반에 대한 응답을 제공합니다.
