Imeandikwa na: M, Mohanasundaram na Neil Tyagi Katika mazingira ya kisasa ya mtandao yanayobadilika kwa kasi, vitisho vya programu hasidi vinaendelea kubadilika, vikitumia mbinu mpya na kutumia mifumo maarufu kufikia waathiriwa wasiotarajiwa. Tishio moja kama hilo linaloibuka ni Lumma Stealer—programu hasidi ya wizi wa habari ambayo hivi majuzi ilipata kuvutia kupitia chaneli za Telegraph. Kwa umaarufu wa Telegram kama jukwaa la kutuma ujumbe na kushiriki, watendaji tishio wameitambua kama vekta ya usambazaji yenye faida kubwa, kupita njia za kitamaduni za ugunduzi na kufikia hadhira pana, mara nyingi isiyo na mashaka. Kwa bahati nzuri, masuluhisho ya hali ya juu ya usalama ya McAfee yana vifaa vya kugundua na kupunguza vitisho kama vile Lumma Stealer. Kupitia maarifa ya hali ya juu ya tishio, uchanganuzi wa tabia na ufuatiliaji wa wakati halisi, McAfee hutoa ulinzi thabiti dhidi ya programu hasidi, kusaidia watumiaji kulinda data zao za kibinafsi na vipengee vya dijitali. Katika blogu hii, tutachunguza mbinu, mbinu, na taratibu (TTPs) zinazotumiwa na Lumma Stealer, kuchunguza uwezo wake, na kujadili jinsi suluhu za McAfee zinavyoweza kusaidia kuwalinda watumiaji dhidi ya tishio hili linaloenea kwa kasi. Kituo cha Telegraph kinachotoa programu hasidi iliyofichwa kama programu ya crack https[:]//t[.]me/hitbase Ona idadi kubwa ya waliojisajili ya 42k. Chapisho la mwisho tarehe 3 Nov Mfano mwingine wa kituo cha telegramu kinachotoa programu hasidi kwa watumiaji wasiojali. https[:]//t[.]me/sharmamod Hesabu ya waliojiandikisha 8.66k Chapisho la mwisho tarehe 3 Nov Pia tambua kuwa chaneli zote mbili zinahusiana kwani zinasambaza ujumbe kutoka kwa chaneli ya kila mmoja ya telegramu. McAfee hugundua programu hizi bandia za ufa kama [Trojan:Win/Lummastealer.SD]
Kuenea kwa Tishio kuzingatiwa kulingana na data ya telemetry ya McAfee. India ndiyo iliyoathiriwa zaidi na tishio hili, ikifuatiwa na Marekani na Ulaya. Blogu hii itachambua faili moja mahususi, CCleaner 2024.rar. Nyingine zinafanana kimaumbile isipokuwa kwa mada. Heshi ya faili hii ni 3df7a19969e54bd60944372e925ad2fb69503df7159127335f792ad82db7da0b. Rar iliyotolewa ina faili za Microsoft DLL Readme.txt ina kiungo cha kituo cha telegram CCleaner 2024.exe ni programu ya NET Tunapakia faili kwenye Dnspy na kuangalia kazi kuu. Katika hili, tuna simu mbili kwa chaguo za kukokotoa UninitializeBuilder, ambayo husimbua blob ya data ambayo hupitishwa kwake (AIOsncoiuuA & UserBuffer) pamoja na ufunguo (Alco na ufunguo). Ufunguo wa Kusimbua (Alco) na data Iliyosimbwa (AIOsncoiuuA) kwa simu ya kwanza. Ufunguo wa Usimbuaji (Ufunguo) na data Iliyosimbwa (UserBuffer) kwa simu ya Pili. Kijisehemu cha Kazi ya usimbuaji. Data iliyosimbwa huhifadhiwa katika uiOAshyuxgYUA tofauti. Tunaweka sehemu ya kuvunja mwisho wa chaguo hili la kukokotoa na kuendesha programu ili kupata thamani iliyosimbwa ya kila simu. Kwa simu ya kwanza, tunapata data ifuatayo iliyosimbwa kwenye kumbukumbu. Tunaona simu za API za mchakato wa sindano zilitolewa kwenye kumbukumbu. Tunaweza pia kuona programu inayolengwa ambayo sindano ya mchakato itafanyika, katika kesi hii, RegAsm.exe. Tunaweza kuthibitisha hili kupitia mti wa mchakato. Tunaruhusu sehemu ya kuvunja kugonga tena ili kupata safu inayofuata iliyosimbwa faili ya PE Tunaweza kutazama baiti za PE zilizosimbwa, kutupa mzigo huu kwenye diski, na kukagua hatua inayofuata. Hatua ya 1 ni faili iliyokusanywa ya V C++. Tulikagua sehemu za upakiaji na kugundua kuwa ina data iliyosimbwa. Kijisehemu cha kitanzi cha kusimbua. Kufuatia usimbuaji, data imeandikwa kwa faili mbili kwenye folda ya AppData Roaming. Upakiaji wa kwanza ulioandikwa katika folda ya AppData\Roaming ni faili ya NET “XTb9DOBjB3.exe”(Lumma_stealer) na upakiaji wa pili pia .Net faili “bTkEBBLC4H.exe”(clipper). Baada ya kukagua upakiaji wote wawili, tuliona kuwa wanatumia mantiki sawa ya usimbuaji kama faili kuu(ccleaner). Kiibaji cha Lumma: Baada ya kutupa upakiaji kutoka kwa faili ya .NET, tuligundua ni 32-bit GUI Inayoweza Kutekelezeka. “winhttp.dll inapakiwa kwa nguvu kwenye programu kwa kutumia kazi ya LoadLibraryExW. Baada ya kukagua faili ya PE, mifuatano iliyosimbwa ya Base64 ilitambuliwa ndani ya mfumo wa jozi. Data iliyosimbwa inasimbuliwa kwanza kutoka kwa umbizo la Base64, na kuibadilisha kuwa mfumo wa jozi. Data iliyosimbuliwa hupitishwa kupitia utaratibu wa kusimbua ili kurejesha maandishi wazi. Tunaona kuwa Maandishi Matakatifu yanafanana na kikoa, na hutumiwa kuanzisha mawasiliano na mhusika tishio ili kuchuja data. Kijisehemu cha msimbo cha WinHttpOpenRequest: Orodha ya Maombi yenye mbinu ya chapisho: “hxxps://snarlypagowo.site/api” “hxxps://questionsmw.store/api” “hxxps://soldiefieop.site/api” “hxxps:// abnomalrkmu.site/api” “hxxps://chorusarorp.site/api” “hxxps://treatynreit.site/api” “hxxps://mysterisop.site/api” “hxxps://absorptioniw.site/api” Hatimaye, inaunganishwa na jumuiya ya stima (hxxps://steamcommunity.com /profiles/76561199724331900), Programu hasidi hutoa jina la akaunti ya Steam, ambayo hapo awali ilifichwa ili kukwepa kutambuliwa, na kuichambua ili kufichua kikoa cha C2. Hatua hii ni muhimu ili kubaini muunganisho kati ya kifaa kilichoathiriwa na seva ya mshambulizi, ikiruhusu shughuli zaidi hasidi kama vile uchujaji wa data na uwasilishaji wa ziada wa mzigo. Kwa kutumia mbinu hii, wavamizi huepuka kwa ufanisi mbinu za msingi za ugunduzi, hivyo kufanya iwe vigumu kwa suluhu za jadi za usalama kutambua mawasiliano na seva ya C2. Hiki ni kijisehemu cha jumuiya ya Steam: Baada ya kukagua data, ilionekana kuwa jina la mtumiaji lilikuwa limefichwa na lilikuwa na lakabu nyingi. Tuliona kuwa real_persona_name imeletwa na imerahisishwa na msimbo ulio hapa chini. Baada ya kufutwa, tulipata maandishi wazi na kikoa chake “marshal-zhukov.com”. Baada ya kuanzisha muunganisho, seva ya C2 ilijibu kwa data ya usanidi katika umbizo lililosimbwa la Base64. Data iliyosimbwa inasimbuliwa kwanza kutoka kwa umbizo la Base64, na kuibadilisha kuwa mfumo wa jozi. Data iliyosimbuliwa hupitishwa kupitia utaratibu wa kusimbua ili kurejesha maandishi wazi. Sanidi kwa ajili ya kukusanya taarifa za pochi. Kwa FTP na maelezo ya barua pepe: Pia hukusanya taarifa za mfumo na kuzituma kwa c2. Clipper: Mara tulipotupa mzigo wa malipo kutoka kwa faili ya .NET, tuligundua kuwa ilikuwa 32-bit .NET inayoweza kutekelezeka inayoitwa “Runtime64.exe.” Tunapakia faili kwenye dnspy ​​na angalia kazi kuu. Inaanza kwa kuangalia mutex(“sodfksdkfalksdasgpkprgasdgrrkgwhrterheegwsdfwef”) ili kuona kama tayari inaendeshwa kwenye mashine. Autorun.is_installed: Chaguo hili la kukokotoa hukagua kama programu imewekwa ili kuendeshwa wakati wa kuanzisha mfumo. Ikiwa autorun haijasanidiwa, inaongeza moja ili kuwezesha utekelezaji otomatiki wakati wa kuanzisha. Faili hii huweka sifa iliyofichwa kuwa sivyo ili kuondoa hali iliyofichwa na kuiweka kama faili ya mfumo ili kuilinda. Kitendaji hiki cha Ubao Klipu Monitor.run Hutumia mifumo ifuatayo ya regex kulinganisha na anwani za pochi. Ikilingana, hubadilisha yaliyomo kwenye ubao wa kunakili na anwani maalum ili kuteka nyara cryptocurrency. Kijisehemu cha msimbo cha kifuatiliaji na uingizwaji wa ubao wa kunakili: Hitimisho Kiibaji cha Lumma ni ukumbusho kamili wa hali inayobadilika kila wakati ya vitisho vya mtandao na uwezo wa kubadilika haraka wa mbinu za programu hasidi. Kuenea kwake kupitia chaneli za Telegraph kunaonyesha jinsi watendaji tishio wanavyoweza kutumia kwa urahisi majukwaa maarufu ili kusambaza msimbo hasidi kwa hadhira pana. Kwa kuwa Lumma Stealer inaweza kuiba taarifa nyeti na kuhatarisha faragha ya mtumiaji, uharibifu unaoweza kusababisha ni mkubwa. Katika mazingira haya ya mtandao yanayozidi kuwa hatari, kuwa na ulinzi thabiti na wa kisasa haujawahi kuwa muhimu zaidi. Ugunduzi wa hali ya juu wa tishio wa McAfee na mbinu za ulinzi makini huwapa watumiaji ulinzi muhimu dhidi ya vitisho kama hivyo. Kwa kuchanganya ufuatiliaji wa wakati halisi, uchanganuzi wa tabia, na masasisho endelevu ili kukabiliana na TTP mpya, McAfee huwasaidia watumiaji kukaa hatua moja mbele ya watendaji hasidi. Kadiri TTP zinavyobadilika kwa haraka, kudumisha ulinzi wa kina wa kingavirusi ni muhimu ili kulinda data ya kibinafsi, taarifa za fedha na faragha. Kukaa macho na kuwekewa suluhu zinazofaa za usalama huhakikisha kuwa watumiaji wako tayari kukabiliana na matishio ya hivi punde ana kwa ana. Viashiria vya Compromise BLTools v4.5.5 New.rar 000756bedf4e95de6781a4193301123032e987aba33dcd55c5e2a9de20a77418 Blum Auto Bot Token.rar 06715881cd4694a0de28f8d2e3a8cc17939e83a4ca4dee2ebb3078fc25664180 Video ya Mtandaoni ya Netflix 2024.rar 072aa67c14d047621e0065e8529fadd0aac1c1324e10e5d027c10073ffffcd023 Toleo la 2.1.6.rar la Kipakuaji cha YouTube 1724f486563c5715ce1fe989e8f4ca01890970816c5ffc2e5d0221e38cf9fdb9 Full Adobe Photoshop 2024 + CDkey.rar 174690d86d36c648a2d5a595bc8cfae70c157f00c750c36fd1a29f52011af5e2 Video ya Kipakuliwa cha Youtube 2024 Version.rar 18aca8b28750c9673f1c467f5eab1bbae4ad6c79f3fe598318c203c8e664d44f ChatGPT-5 Toleo la 2024 .rar 24a32d763e458e5440cb18f87685cc5626bf62cd9c3ca7bab10f0ced629708ee Kikagua Valorant na Xinax 2024.rar 31a818c75d35bafc58c62c7522503f90be7b684803883e5f07c4cc16f517d1d0 Uwezeshaji Windows 8,10,11 FULL + CDkey.rar 338ec6016db4eb95b15bc0822fc1d745f107ae0739a57b41ef10c9f64b6c8077 Ccleaner 2024.rar 3df7a19969e54bd60944372e925ad2fb69503df7159127335f792ad82db7da0b CC Checker ActTeam 2024 New.rar 535650b613161c011086eab9d87189aa637f8575e52442db6e81602e67a2e4f4 Netflix ufikiaji wa barua pepe Checker 2024 New.rar 61a17a91ce2a98b455a50ff37b33368fe3b2f3a516cf94c5d7b18e386274557b Kikagua Paypal Toleo Jipya la 2024.rar 840a255a184d3e819a07e3749b5e32da84f607ac7025366967d12dac0c5fa859 Kipakuaji Bila Malipo cha YouTube 2024.rar 9be6ea9ab019c7bd59fab7097ceb9cd465a6ae0c6b9a50d55432a0bfb5e1f184 Microsoft Office 2024 + CDkey.rar a541b66785534bca646a7691c7a2a5630947ecbd4ee2544b19a5f8347f70f923 Toleo la Crypto Seed Checker 2024.rar ac5c6793354b2be799ce755828d72f65a0c2ea63ccc942208c22e893a251b52c Phemex CryptoBot.rar b53e0759fa11d6d31b837adf5c5ceda40dd01aa331aa42256282f9ca46531f25 SQLi Dumper v10.5.rar ce8e7b2a6222aa8678f0c73bd29a9e3a358f464310002684d7c46b2b9e8dcf23 Cyber ​​Ghost VPN + Key master.rar d31520c4a77f01f0491ef5ecf03c487975182de7264d7dce0fb7988e0cea7248 Kikagua AIO Toleo Jipya 9.10.rar d67cc175e2bb94e2006f2700c1b052123961f5f64a18a00c8787c4aa6071146f Toleo la Eneo-kazi la Spotify 2024.rar e71e23ad0e5e8b289f1959579fb185c34961a644d0e24a7466265bef07eab8ec Nord VPN 2024 + Key.rar fa34c20e1de65bfff3c0e60d25748927aa83d3ea9f4029e59aaedb4801220a54 Toleo la Paysafecard Checker 2024.rar fb60510e8595b773abde86f6f1792890978cd6efc924c187cb664d49ef05a250 TradingView 2024 New Version (Desktop). fdc6ebf3968cd2dfcc8ad05202a847d7f8b2a70746800fd240e6c5136fcd34f6 chaneli ya Telegramu · https[:]//t[.]me/hitbase Telegram channel · https[:]//t[.]me/sharmamod C2 marshal-zhukov.com Tunakuletea ulinzi wa wizi wa Utambulisho wa McAfee+ na faragha kwa maisha yako ya kidijitali Pakua McAfee+ Sasa \x3Cimg height=”1″ width=”1″ style=”display:none” src=”https://www .facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);