Фахівці з інформаційної безпеки компанії AhnLab Security повідомили про виявлення нового варіанту шкідливого програмного забезпечення LummaC2, який використовує популярний ігровий сервіс Steam як командно-контрольний сервер (C2-сервер).
Експерти зазначають, що LummaC2 є інфостилером, який активно розповсюджується під виглядом нелегального софту для геймерів, такого як чіти, кряки, тренери, кейгени тощо. Шкідливі файли поширюються через різні канали, включаючи сервіси YouTube, LinkedIn, а також рекламні банери у пошукових системах з використанням методу SEO Poisoning.
Останнім часом LummaC2 почав маскуватися під легітимні програми, такі як Notion, Slack і Capcut, що свідчить про розширення аудиторії атак. За даними AhnLab Security, спочатку LummaC2 поширювався у вигляді виконуваного файлу або за допомогою методу DLL Sideloading.
Під час виконання LummaC2 розшифровує свої внутрішні зашифровані рядки, щоб отримати інформацію про C2 домени. Якщо вбудовані домени недоступні, шкідливість підключається до платформи Steam. Необхідна URL-адреса в межах Steam зберігається у виконуваному коді і вказує на конкретну сторінку облікового запису, створену кіберзлочинцями. LummaC2 отримує рядок з тегу «actual_persona_name» на цій сторінці, який потім розшифровується за допомогою шифру Цезаря для отримання актуального домену C2.
Аналітики зазначають, що використання великого легітимного сервісу з багатомільйонною базою користувачів дозволяє кіберзлочинцям знижувати підозри та легко змінювати C2-домен за потреби.
