Lumma Stealer adalah malware canggih yang dirancang untuk mencuri informasi sensitif dari berbagai browser, dompet cryptocurrency, dan aplikasi populer. Penelitian terbaru menunjukkan aktivitas Lumma Stealer melalui beberapa sampel online, termasuk dua skrip PowerShell dan satu installer EXE, yang menunjukkan hubungan orang tua-anak dalam rantai infeksi.
Proses Eksekusi Sampel
Skrip Trigger.ps1 mengunduh file BMB1tcTf.txt, yang kemudian mengeksekusi hhh.exe setelah menemukan lingkungan yang sah.
hhh.exe berfungsi sebagai loader untuk malware GHOSTPULSE, yang mengumpulkan informasi tentang sistem operasi, perangkat keras, modul yang dimuat, dan proses yang berjalan.
Malware ini menggunakan teknik Process Doppelgänging untuk menyuntikkan kode berbahaya ke dalam proses yang sah, sehingga sulit dideteksi oleh solusi keamanan tradisional.
Teknik Pencurian Data
Lumma Stealer menggunakan teknik yang dikenal sebagai Heaven’s Gate untuk menyuntikkan kode berbahaya ke dalam proses anak.
Kode yang disuntikkan dapat mencuri berbagai informasi sensitif, termasuk data sistem, data clipboard, dan kata sandi browser.
Setelah mencuri informasi, malware ini mengirimkan data tersebut ke server Command and Control (C2).
Komunikasi dengan Server C2
Saat terhubung ke server C2, malware mengirimkan pesan untuk mengonfirmasi bahwa server online, diikuti dengan pesan kedua yang berisi informasi yang dicuri.
Pesan kedua mencakup beberapa parameter, seperti act=recive_message dan ver=4.0, yang menunjukkan versi malware.
Data yang dicuri dikirim dalam format multipart/form-data, termasuk ID perangkat keras, ID proses, dan data yang telah dikompresi.
Kesimpulan
Lumma Stealer adalah trojan yang menyamar sebagai aplikasi atau file normal dan menyebar melalui serangan phishing, iklan berbahaya, dan teknik rekayasa sosial lainnya. Dengan kemampuannya untuk mencuri data dari browser seperti Firefox, Lumma Stealer menjadi ancaman serius bagi keamanan siber. Pengguna disarankan untuk selalu waspada dan menggunakan solusi keamanan yang efektif untuk melindungi data mereka