Популярный фейковый сайт Telegram Premium распространяет вредоносное ПО

Вредоносная кампания атакует пользователей через мошеннический сайт Telegram Premium, распространяя опасный вариант вредоносного ПО Lumma Stealer.

Согласно сообщению Cyfirma, домен telegrampremium[.] app очень похож на официальный бренд Telegram Premium и содержит файл start.exe .

Этот исполняемый файл, написанный на C / C++, автоматически загружается при посещении сайта без какого-либо взаимодействия с пользователем.

Как работает вредоносное ПО

После запуска оно собирает конфиденциальные данные, включая логины из браузера, данные криптовалютных кошельков и информацию о системе, что повышает риски, такие как кража личности.

Фейковый сайт работает как механизм drive-by download , то есть вредоносное ПО доставляется автоматически без явного согласия пользователя.

Высокая энтропия исполняемого файла предполагает использование криптора для обфускации , что затрудняет обнаружение традиционными антивирусами.

Статический анализ показывает, что вредоносное ПО импортирует многочисленные функции Windows API, позволяя манипулировать файлами, изменять реестр, получать доступ к буферу обмена, выполнять дополнительные payload-Ы и избегать обнаружения.

ПО также инициирует DNS-запросы через общедоступный DNS Google , обходя внутренние сетевые элементы управления.

Оно взаимодействует как с легитимными сервисами вроде Telegram и Steam Community для возможного управления, так и с алгоритмически сгенерированными доменами для избежания блокировок.

Эти методы позволяют поддерживать каналы связи, избегать обнаружения брандмауэрами и традиционными системами мониторинга.

Домен вновь создан, его характеристики хостинга указывают на краткосрочную, целенаправленную активность.

Вредоносное ПО оставляет несколько замаскированных файлов в директории % TEMP% , включая зашифрованные payload-ами, маскирующиеся под изображения.

Некоторые из них позже переименовываются и выполняются как обфускированные Скрипты, что позволяет по очищать следы своей деятельности.

Он использует такие функции, как Sleep для задержки выполнения и LoadLibraryExW для незаметной загрузки DLL, что затрудняет аналитикам обнаружение ПО во время первоначальной проверки.

Как оставаться в безопасности

• Организациям следует внедрить решения для обнаружения и реагирования на конечные точки (EDR) , способные распознавать подозрительные паттерны поведения, связанные с Lumma Stealer.

• Запретить доступ ко всем вредоносным доменам.

• Установить строгие правила загрузки файлов, чтобы предотвратить доставку payload-ов.

• Использовать многофакторную аутентификацию , чтобы ограничить последствия компрометации учетных данных.

• Регулярная ротация паролей помогает снизить риск долгосрочного доступа злоумышленников.

• Непрерывный мониторинг подозрительной активности позволяет быстрее выявлять и реагировать на потенциальные нарушения безопасности.