Nota: il seguente articolo ti aiuterà con: Gli autori delle minacce sfruttano il CDN di Discord per distribuire Lumma Stealer
Gli autori delle minacce utilizzano la piattaforma di chat Discord per distribuire Lumma Stealer, un malware specializzato nel furto di informazioni.
Ricercatori di Trend Micro ha analizzato il ladro e ha scoperto che gli autori delle minacce stanno sfruttando la Content Delivery Network (CDN) per ospitare e distribuire Lumma Stealer, utilizzando anche l’Application Programming Interface (API) della piattaforma per creare bot dannosi che controllano il malware e rubano i dati a Discord privato server e canali.
Lumma Stealer, codificato nel linguaggio di programmazione C e progettato per rubare le credenziali dell’utente, è l’ultima famiglia distribuita tramite CDN di Discord. Questo malware è stato inizialmente individuato nell’agosto 2022, con segnalazioni emerse all’inizio di quest’anno riguardanti operatori di Lumma Stealer che prendevano di mira gli utenti di YouTube tramite e-mail di spear-phishing.
I ricercatori hanno anche scoperto che il prezzo iniziale del Lumma Stealer è di circa $ 250 al mese nei forum clandestini, con il costo più alto di $ 20.000 al mese.
Lumma Stealer: spiegazione delle tattiche
Esecuzione di Lumma Stealer.| Fonte: TrendMicroLe tattiche impiegate dagli operatori di Lumma Stealer sono caratterizzate dall’utilizzo di account Discord casuali per inviare messaggi diretti alle vittime. Gli autori malintenzionati hanno anche sfruttato gli account Discord compromessi per prendere di mira le connessioni degli account compromessi.
Gli aggressori hanno inizialmente coinvolto le vittime offrendo loro 10 dollari o un boost di Discord Nitro in cambio di aiuto per il presunto progetto. I potenziamenti Nitro fanno parte del potenziamento dei server basato su abbonamento di Discord, attirando gli utenti con vantaggi speciali su server specifici. Questa offerta funge da esca per invogliare le vittime a giocare e a fornire una recensione, che secondo gli aggressori richiederà solo pochi minuti. Se la vittima acconsente, le viene richiesto di scaricare un file.
Durante l’indagine, una vittima ha ricevuto il messaggio Discord tramite Google Chrome. Facendo clic sul collegamento dannoso, si sono verificati più download del file “4_iMagicInventory_1_2_s.exe”, contenente il malware Lumma Stealer.
Quando viene eseguito, questo file viene connesso al dominio dannoso “gapi-node[.]io’ e tenta di rubare portafogli di criptovaluta e dati del browser.
Capacità crescenti di Lumma Stealer
Forum sotterranei di Lumma Stealer. | Fonte: TrendMicroGli autori delle minacce associati a Lumma Stealer si sono vantati nei forum clandestini che il malware ora può caricare altri file, il che spesso porta all’installazione di malware aggiuntivo.
Inoltre, hanno annunciato che Lumma Stealer ora può utilizzare l’intelligenza artificiale e il deep learning per rilevare e filtrare i bot. Si presume che nel suo contesto i bot si riferiscano a ricercatori di sicurezza, ambienti di analisi ed emulatori.
Per mitigare i rischi di questo malware, i ricercatori hanno chiesto agli utenti di evitare di aprire messaggi diretti su qualsiasi piattaforma se provengono da un’entità sconosciuta, di utilizzare qualsiasi software antivirus affidabile di terze parti e di fornire formazione sulla sicurezza ai dipendenti.
L’India applicherà la legge sulla tracciabilità di WhatsApp per contrastare i deepfake
