Buscar este blog

  detalls tècnics sobre Trojan:BAT/LummaStealer.DA!MTB:


Característiques Tècniques del Malware:
  • Format Executable: Com que és un BAT (Batch) script, això implica que es tracta d'un arxiu de text amb comandes que Windows executa per realitzar tasques automàtiques. Aquestes comandes poden incloure l'execució d'altres arxius maliciosos, modificació del sistema, o connexió amb servidors C2 (Command and Control).
  • Mètodes d'Infecció:
    • Phishing: Envia correus electrònics o missatges que imiten entitats legítimes per enganxar usuaris a descarregar o executar el malware.
    • Exploits: Pot aprofitar vulnerabilitats en programari no actualitzat per aconseguir l'execució de codi maliciós.
    • Software Crackejat: Distribució a través de programes pirates que contenen el malware com a "extra".
  • Tècniques de Persistència:
    • Registre de Windows: Afegir entrades al registre per assegurar que el malware es reiniciï amb el sistema.
    • Tasques Programades: Crear tasques programades que executen el malware en intervals o en esdeveniments específics.
    • Arxius d'Inici: Col·locar arxius al directori d'inici de Windows o d'usuaris per executar-se automàticament.
  • Evasió de Detecció:
    • Obfuscatió: Utilitzar tècniques per amagar o fer més difícil l'anàlisi del codi del script.
    • Anti-Analysis: Tècniques per detectar si està sent analitzat (com comprovar la presència de màquines virtuals o entorns de depuració) i modificar el comportament en conseqüència.
    • Packaging: Utilitzar eines per empaquetar el malware de manera que es desempaqueti en temps d'execució, complicant la detecció estàtica.
  • Comunicació amb C2:
    • HTTP/HTTPS: Utilitzar protocols estàndard per comunicar-se amb el servidor de comandament i control, sovint amb comunicacions xifrades.
    • User-Agent Custom: Comunicacions marcades amb un User-Agent específic per identificar-se amb el servidor C2.
  • Robatori de Dades:
    • Hooking: Interceptar funcions d'API per capturar dades en temps real, com clics de ratolí, tecles premudes, o dades de formulari.
    • Extraction de Credentials: Utilitzar tècniques per extreure contrasenyes guardades des de navegadors o aplicacions de gestió de contrasenyes.
  • Indicadors de Compromís (IOC):
    • Hashs de Fitxers: Identificadors únics per detectar variants específiques del malware.
    • IPs i Dominis C2: Adreces IP o dominis utilitzats pel malware per comunicar-se amb el servidor de control.

Mitigació Tècnica:
  • Anàlisi de Comportament: Utilitzar solucions de seguretat que monitoritzen comportaments sospitosos més enllà de simples signatures.
  • Sandboxing: Executar arxius sospitosos en entorns aïllats per observar el seu comportament sense risc per a la xarxa principal.
  • Actulitzacions de Seguretat: Assegurar-se que totes les aplicacions i el sistema operatiu estiguin al dia amb els últims parxets de seguretat.

Entendre aquests detalls tècnics ajuda a implementar defenses més eficaces i a detectar i respondre ràpidament a incidències de seguretat relacionades amb aquest tipus de malware.

Buscar este blog