LummaC2, un malware ladrón de información que explota activamente los comandos de PowerShell, ha resurgido para infiltrarse y exfiltrar datos confidenciales. Descubierta por investigadores de ciberseguridad de Ontinue, la última variante del malware demuestra tácticas sofisticadas que plantean riesgos significativos para los sistemas atacados. LummaC2, identificado inicialmente en foros de habla rusa en 2022, es una herramienta escrita en C y distribuida como Malware-as-a-Service (MaaS). Está diseñada para robar información confidencial de los puntos finales infectados, incluidas las credenciales y los datos personales. El nuevo informe, publicado hoy, detalla cómo el vector de ataque inicial de LummaC2 implica comandos PowerShell ofuscados que descargan y ejecutan cargas útiles, a menudo utilizando los LOLbins legítimos de Microsoft (binarios Living-off-the-Land) como Mshta.exe y Dllhost.exe con fines maliciosos. Nueva variante de LummaC2: hallazgos clave Etapas de la infección: el malware opera en múltiples etapas, comenzando con un comando PowerShell codificado que descarga scripts y archivos maliciosos adicionales. Luego, estos scripts se descifran y se ejecutan en el dispositivo de destino, a menudo haciéndose pasar por archivos legítimos para evadir la detección Uso de LOLbins: LummaC2 aprovecha Mshta.exe para ejecutar archivos de aplicación HTML para la ejecución inicial de su carga útil. Esto permite que el malware permanezca sigiloso al utilizar binarios confiables de Windows Técnicas de persistencia: el malware logra la persistencia escribiendo en ubicaciones de registro comunes que garantizan que se inicie automáticamente con el sistema, lo que permite el acceso continuo a los dispositivos comprometidos Comando y control (C2): el malware se comunica con su servidor C2 a través de solicitudes POST, exfiltrando datos robados y recibiendo instrucciones. El proceso «dllhost.exe» se explota para esta comunicación, lo que permite a los atacantes manipular el sistema comprometido de forma remota Lea más sobre los ataques habilitados por LummaC2: Canales famosos de YouTube pirateados para distribuir Infostealers Las implicaciones de estos hallazgos son preocupantes. Como muestra el análisis de Ontinue, las técnicas de LummaC2 se alinean con varios marcos MITRE ATT&CK, como la inyección de procesos (T1055) y la persistencia mediante la modificación del registro (T1547.001). La empresa enfatizó la necesidad de una mejor supervisión de los puntos finales y la implementación de medidas de seguridad como las reglas de reducción de la superficie de ataque (ASR) para contrarrestar estas amenazas sofisticadas. También se recomienda a las organizaciones que implementen soluciones de detección y respuesta de puntos finales (EDR) y monitoreen el comportamiento inusual, en particular aquellos que involucran procesos confiables como dllhost.exe.