網路資安威脅
小心:Lumma Stealer 資訊竊取程式透過 Discord CDN 散播
這篇文章討論駭客如何利用 Discord 的內容派送網路 (CDN) 來存放及散播 Lumma Stealer 資訊竊取程式,並說明這款資訊竊取程式還有哪些功能。
Save to Folio
根據趨勢科技最新調查顯示,駭客正在透過 Discord 這個在遊戲玩家、內容創作者及直播主之間相當熱門的聊天平台來散播一個名為「Lumma Stealer」的資訊竊取程式。我們觀察到駭客會使用 Discord 的內容派送網路 (CDN) 來儲存及散播 Lumma Stealer,同時還會利用這個社群平台的應用程式開發介面 (API) 來開發機器人程式,用來與惡意程式通訊並進行遠端遙控。不僅如此,這些機器人也會將偷到的資料傳送到私人 Discord 伺服器或頻道。
Lumma Stealer 採用 C 語言撰寫,專門竊取使用者的登入憑證,是目前經由 Discord CDN 散播的最新惡意程式家族之一。這個資訊竊取程式首次在 2022 年 8 月亮相,今年稍早,網路上指出 Lumma Stealer 駭客集團會經由魚叉式網路釣魚郵件攻擊 YouTube 使用者。
目前,Lumma Stealer 在地下論壇上是以服務的形式販售,價格從每個月 250 美元起。最便宜的方案可以讓使用者檢視並上傳記錄檔,並可使用記錄檔分析工具。其次是專業方案,除了上述功能之外,還增加了流量分析工具。再來是企業方案 (價錢是最便宜方案的四倍),內含主動式資安防禦躲避服務。最後是最貴的 2 萬美元一個月的方案,使用者可取得原始程式碼,並擁有販售該資訊竊取程式的權利。
技術面分析
Lumma Stealer 駭客集團一般使用隨機的 Discord 帳號來發送私訊給受害者。不過,駭客也會使用被盜的 Discord 帳號並瞄準該帳號的親友團。駭客會試圖誘騙受害者幫忙協助某個專案,並提供 10 美元或 Discord Nitro 加成 (boost) 作為交換誘因。Nitro 加成是該平台訂閱制伺服器加成 (Server Boosting ) 機制的一環,可讓使用者幫特定伺服器購買特殊的福利和功能。這些玩遊戲並提供評論所交換的獎勵,對受害者而言是個頗具吸引力的提議,而且駭客承諾只會占用他們四到五分鐘的時間。受害者若同意了駭客的提議,系統會提示受害者下載檔案。
在我們所調查的案例中,受害者在一台工作用電腦上使用 Google Chrome 瀏覽器讀取了 Discord 上的這封詐騙訊息。在點選其中的惡意連結後,隨即觸發了好幾次檔案下載,被下載的惡意檔案是「4_iMagicInventory_1_2_s.exe」,裡面包含了 Lumma Stealer 惡意程式。
這個惡意檔案一旦執行,就會連上一個惡意網域:gapi-node[.]io,並試圖竊取使用者的虛擬加密貨幣錢包與瀏覽器資料。
Lumma Stealer 駭客集團在地下論壇上表示,該惡意程式已經具備載入其他檔案的能力,而且根據我們的觀察,這些檔案可能導致其他惡意程式。此外,Lumma Stealer 駭客集團也宣布該惡意程式能夠使用人工智慧與深度學習來偵測「機器人」,以便過濾掉加盟者記錄檔中無效的感染案例。我們在猜這裡所謂的「機器人」指的應該是資安研究人員,或者是分析環境與模擬器。
我們在調查中偵測到的是 Lumma Stealer 惡意程式的最新版本。
結論與建議
使用者在點選連結或從不明來源下載檔案時應特別小心,因為這些檔案有可能已感染了 Lumma Stealer 或其他惡意程式。此外,使用者也可以嚴格遵守以下資安建議來避免落入資訊竊取程式的陷阱:
- 使用者應小心非預期或不請自來的私訊,在開啟任何附件或點選連結之前,務必先檢查發送者的身分。
- 採用一套值得信賴的防毒軟體來掃描及保護裝置,以防範惡意威脅。
- 詳細盤點您環境中使用的通訊工具,考慮將未核准的工具加入 Trend Vision One 的可疑物件清單(Suspicious Objects List) 當中。
- 企業應確保自己的員工都受過訓練,能分辨並遠離社交工程詐騙,企業應定期舉辦資安教育訓練以確保每位員工都能隨時掌握新知。
趨勢科技解決方案
Managed XDR 採用專家數據分析來分析各種趨勢科技技術所蒐集到的大量資料。XDR 會運用進階的人工智慧 (AI) 與專家數據分析來交叉關聯來自客戶環境的資料與全球威脅情報,產生量少質精且更加準確的警報,進而更快偵測威脅。此外,Vision One 在單一主控台上提供經過優先次序判斷的警報,再配合引導式調查,讓企業更輕鬆掌握攻擊的完整範圍與衝擊。
採用 Trend One™ 的企業可透過全天候的進階專屬支援、託管式 XDR 以及事件回應服務來提升資安韌性。這項服務包含了解決方案的自動更新與升級、隨選教育訓練、最佳實務原則指南,以及網路資安專家諮詢。
Trend Micro Apex One™ 將威脅偵測、回應及調查整合在單一解決方案當中,能自動偵測及回應各種類型的威脅,例如:勒索病毒與無檔案式攻擊。Apex One 擁有進階的工具來偵測及回應攻擊,並且能與資安事件管理 (SIEM) 系統整合。
Trend Cloud One™ – Endpoint Security 及 Workload Security 透過集中化可視性、管理與角色導向存取控管來保護端點、伺服器以及雲端工作負載。這些服務提供了專為多元化端點與雲端環境而最佳化的專屬防護,能消除部署多套單一面向解決方案的成本與複雜性。此外,還有 Trend Cloud One™ – Network Security 可提供超越傳統入侵防護 (IPS) 的功能,內含虛擬修補以及已入侵威脅偵測和攔阻,是強大的混合雲防護平台不可或缺的一環。
入侵指標資料
C&C:gapi-node[.]io
SHA256:674d96c42621a719007e64e40ad451550da30d42fd508f6104d7cb65f19cba51