fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

LummaC2: Il Malware Che Inganna con Falsi CAPTCHA e Ruba il Futuro Digitale

Sandro Sana : 15 Gennaio 2025 07:23

Nel panorama in continua evoluzione delle minacce informatiche, LummaC2 si distingue come un infostealer particolarmente insidioso, capace di sottrarre informazioni sensibili attraverso metodi di distribuzione ingannevoli e tecniche di offuscamento avanzate. Questo articolo fornirà un’analisi dettagliata di LummaC2, del suo metodo di distribuzione, delle funzionalità malevole e delle misure di mitigazione per proteggere le infrastrutture IT.

Metodi di Distribuzione Innovativi

Uno degli aspetti più subdoli di LummaC2 è il metodo di distribuzione basato su pagine CAPTCHA false. Gli utenti vengono ingannati da una pagina apparentemente legittima, progettata per simulare una verifica umana tramite il classico pulsante “Non sono un robot”. Tuttavia, cliccando su questo pulsante, viene copiato un comando PowerShell malevolo negli appunti dell’utente.

Se l’utente esegue il comando copiato, si attiva una catena di infezione che culmina con l’installazione di LummaC2. Questo metodo sfrutta la fiducia degli utenti nei confronti dei CAPTCHA, rendendo l’attacco particolarmente efficace.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Questo tipo di distribuzione è stato osservato principalmente su siti web che offrono download di software crackati o in campagne di phishing, enfatizzando la necessità di evitare risorse non affidabili e sospette.

Catena di Infezione Dettagliata

L’intero processo di infezione è caratterizzato da una sequenza articolata e ben orchestrata:

  1. Esecuzione del Comando PowerShell: Il comando copiato negli appunti avvia l’esecuzione di un file HTA (HTML Application) tramite “mshta.exe”. Questo file è offuscato per evitare il rilevamento da parte degli antivirus.
  2. Decodifica dello Script: Il file HTA contiene uno script offuscato che, una volta eseguito, lancia uno script PowerShell crittografato con AES. Questo livello aggiuntivo di offuscamento serve a complicare ulteriormente l’analisi da parte di esperti di sicurezza.
  3. Download del Payload Finale: Lo script PowerShell scarica e installa LummaC2, che avvia immediatamente le sue attività malevole.

Tecniche di Offuscamento Avanzate

LummaC2 implementa una serie di tecniche di offuscamento per eludere i sistemi di sicurezza e le analisi forensi:

  • Offuscamento del Flusso di Controllo: Il malware utilizza tecniche di indirezione del flusso di controllo, rendendo difficile la comprensione del codice durante l’analisi statica con strumenti come IDA Pro o Ghidra.
  • Evasione delle Sandbox: LummaC2 è in grado di rilevare ambienti virtuali attraverso il monitoraggio di interazioni umane, come i movimenti del mouse, ritardando l’esecuzione in assenza di input reali.

Funzionalità Malevole

LummaC2 è progettato per sottrarre una vasta gamma di dati sensibili:

  • Credenziali di Accesso: Esfiltra username e password salvati nei browser web.
  • Dati di Criptovalute: Raccoglie chiavi private e informazioni relative ai portafogli digitali, rappresentando una minaccia diretta per gli asset in criptovaluta.
  • Moduli ClipBanker: Monitora la clipboard per intercettare indirizzi di portafogli di criptovalute, sostituendoli con quelli controllati dagli attaccanti per reindirizzare transazioni.

Analisi della Struttura di Controllo e Attacco

Un elemento chiave per comprendere l’infrastruttura di LummaC2 è la rappresentazione visiva dei suoi flussi di controllo, come mostrato nell’immagine allegata. L’immagine evidenzia la rete complessa che sostiene il malware e le sue operazioni malevole.

Nodi di Partenza: I Domini Malevoli

  • cc.klipjaqemiu.shop: Questo dominio rappresenta uno dei punti di ingresso principali, utilizzato per ospitare i file necessari all’infezione.
  • noisercluch.click: Un secondo dominio malevolo coinvolto nella distribuzione del malware, probabilmente utilizzato per il download del payload o per il reindirizzamento a risorse aggiuntive.

LummaC2 Come Nodo Centrale

LummaC2 funge da nodo centrale, coordinando le attività tra i domini malevoli e i server di comando e controllo (C2). Questo approccio decentralizzato rende il malware più resiliente a eventuali interventi di mitigazione.

Indicatori di Compromissione (IoC)

Gli IoC presenti includono indirizzi IP e tecniche specifiche della matrice MITRE ATT&CK, come:

  • T1055.003: Injection in processi di runtime.
  • T1102.002: Uso di server legittimi compromessi per la comunicazione C2.

Comunicazioni C2

L’immagine mostra chiaramente le connessioni verso server remoti che fungono da punti di comando e controllo. Questi server ricevono i dati esfiltrati e inviano comandi al malware, mantenendo la rete malevola attiva e funzionale.

Modello di Distribuzione come Malware-as-a-Service (MaaS)

LummaC2 è disponibile nei forum del dark web come servizio, rendendolo accessibile anche a cybercriminali con competenze tecniche limitate. I prezzi variano da 250 a 1.000 dollari, a seconda delle funzionalità offerte, contribuendo alla sua diffusione su larga scala.

Strategia di Difesa e Mitigazione

Proteggersi da minacce come LummaC2 richiede un approccio multilivello:

  1. Educazione e Consapevolezza: Formare gli utenti a riconoscere tentativi di phishing e a evitare risorse non affidabili.
  2. Implementazione di EDR: Soluzioni di Endpoint Detection and Response possono rilevare comportamenti anomali e script offuscati.
  3. Bloccare i Domini Malevoli: Configurare soluzioni DNS sicure per impedire l’accesso a domini sospetti come quelli utilizzati da LummaC2.
  4. Monitoraggio della Clipboard: Utilizzare strumenti che rilevino e blocchino manipolazioni sospette della clipboard.

LummaC2 rappresenta una minaccia avanzata e in continua evoluzione, combinando tecniche di ingegneria sociale con metodologie sofisticate di offuscamento ed evasione. La sua capacità di adattarsi e sfruttare nuovi vettori di attacco evidenzia l’importanza di una vigilanza costante e di strategie di difesa aggiornate.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT.
Visita il sito web dell'autore

Articoli in evidenza

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

NoName057(16) Cancellato da Telegram! Ma subito il “Reborn” Con Attacchi DDoS All’Italia!

I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...

Il Narcisismo Digitale: Quando l’Ego si fa Social e l’Apparenza conta più della Realtà

Benvenuti nell’era digitale, l’epoca in cui il palcoscenico globale è a portata di mano e il nostro io diventa il protagonista indiscusso dello spettacolo. I social media, come spec...

Hacker filorussi di DXPLOIT colpiscono il sito Research Italy con un attacco DDoS

Gli hacker filorussi del gruppo DXPLOIT hanno rivendicato un attacco DDoS ai danni del sito Research Italy, portale ufficiale del Ministero dell’Università e della Ricerca italiano (https:...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006