CrowdStrike ha pubblicato l’ennesimo post sul blog ufficiale per avvisare gli utenti che circolano altri fix fasulli per il bug del software Falcon Sensor. Ancora una volta, i cybercriminali tentano di installare un infostealer sui computer per rubare dati dal browser.
Archivi ZIP e RAR con Lumma Stealer
In seguito al crash dei computer Windows dovuti al bug di Falcon Sensor, i cybercriminali hanno subito cercato di sfruttare l’occasione per ottenere una guadagno dalla vendita dei dati rubati (il Garante della privacy italiano ha ricevuto segnalazioni di data breach). CrowdStrike ha rilevato altre email di phishing, con le quali viene distribuito Lumma Stealer.
In allegato all’email c’è un archivio ZIP o RAR che contiene un installer MSI. Si tratta di un loader che all’avvio mostra una schermata di installazione fasulla di un presunto aggiornamento. In realtà estrae ed esegue un file RAR auto-estraente che a sua volta estrae un altro file RAR auto-estraente. Quest’ultimo contiene un installer NSIS che esegue uno script AutoIt, ovvero il loader che scarica Lumma Stealer.
L’infostealer contatta quindi il server C2 (command and control) per ricevere istruzioni. Il dominio è stato usato in passato per inviare email di spam ed effettuare attacchi di vishing (telefonate da un falso supporto tecnico per Microsoft Teams), quindi i cybercriminali sono probabilmente gli stessi.
Lumma Stealer raccoglie diversi dati dal browser, tra cui credenziali, cookie, password e dati delle carte di credito. CrowdStrike consiglia sempre di ottenere gli update dai canali ufficiali e bloccare il download da fonti sconosciute.