Популярний фейковий сайт Telegram Premium поширює шкідливе ПЗ

Зловмисна кампанія атакує користувачів через шахрайський сайт Telegram Premium, поширюючи небезпечний варіант шкідливого ПЗ Lumma Stealer.

Згідно з повідомленням Cyfirma, домен telegrampremium[.]app дуже схожий на офіційний бренд Telegram Premium і містить файл start.exe.

Цей виконуваний файл, написаний на C/C++, автоматично завантажується при відвідуванні сайту без жодної взаємодії користувача.

Як працює шкідливе ПЗ

Після запуску воно збирає конфіденційні дані, включно з логінами з браузера, даними криптовалютних гаманців і інформацією про систему, що підвищує ризики, такі як крадіжка особистості.

Фейковий сайт працює як механізм drive-by download, тобто шкідливе ПЗ доставляється автоматично без явної згоди користувача.

Висока ентропія виконуваного файлу свідчить про використання криптора для обфускації, що ускладнює виявлення традиційними антивірусами.

Статичний аналіз показує, що шкідливе ПЗ імпортує численні функції Windows API, дозволяючи маніпулювати файлами, змінювати реєстр, отримувати доступ до буфера обміну, виконувати додаткові payload-и та уникати виявлення.

ПЗ також ініціює DNS-запити через публічний DNS Google, обходячи внутрішні мережеві контролі.

Воно взаємодіє як із легітимними сервісами на кшталт Telegram та Steam Community для можливого керування, так і з алгоритмічно згенерованими доменами для уникнення блокувань.

Ці методи дозволяють підтримувати канали зв’язку, уникати виявлення брандмауерами та традиційними системами моніторингу.

Домен новостворений, його характеристики хостингу вказують на короткострокову, цілеспрямовану активність.

Шкідливе ПЗ залишає кілька замаскованих файлів у директорії %TEMP%, включно з зашифрованими payload-ами, що маскуються під зображення.

Деякі з них пізніше перейменовуються та виконуються як обфусковані скрипти, що дозволяє ПЗ очищати сліди своєї діяльності.

Воно використовує функції на кшталт Sleep для затримки виконання та LoadLibraryExW для непомітного завантаження DLL, що ускладнює аналітикам виявлення ПЗ під час первинної перевірки.

Як залишатися в безпеці

• Організаціям слід впровадити рішення для виявлення та реагування на кінцевих точках (EDR), здатні розпізнавати підозрілі патерни поведінки, пов’язані з Lumma Stealer.

• Заборонити доступ до всіх шкідливих доменів.

• Встановити суворі правила завантаження файлів, щоб запобігти доставці payload-ів.

• Використовувати багатофакторну аутентифікацію, щоб обмежити наслідки компрометації облікових даних.

• Регулярна ротація паролів допомагає зменшити ризик довгострокового доступу зловмисників.

• Безперервний моніторинг підозрілої активності дозволяє швидше виявляти та реагувати на потенційні порушення безпеки.