TrojanSpy.MSIL.LUMMAC.C
Trojan:MSIL/LummaStealer.B!MTB (MICROSOFT)
Windows
Tipo de malware
Trojan Spy
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Se conecta a determinados sitios Web para enviar y recibir información.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Agrega los procesos siguientes:
- "%Windows%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Este malware inyecta códigos en el/los siguiente(s) proceso(s):
- RegAsm.exe
Robo de información
Recopila los siguientes datos:
- Computer Name
- OS Information
- CPU Information
- Screen Resolution
- System Language
- Physical Memory Installed
Información sustraída
Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:
- http://{BLOCKED}c-node.io/c2sock
- http://{BLOCKED}fe.xyz/c2sock
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- http://{BLOCKED|c-node.io/c2conf
- http://{BLOCKED}fe.xyz/c2conf
Hace lo siguiente:
- It has the following capabilities:
- Loader function (Execute/Load downloaded executables or DLL files)
- Execute PowerShell script
- Manage files (Upload/Download files from server)
- Manage processes (Create list)
- Delete itself after execution
- It exfiltrates the following data from Google Chrome.
- History
- Login Data
- Login Data For Account
- Web Data
- Network\Cookies
- Local Storage\leveldb
- Local Storage\leveldb
- It exfiltrates the following data from Mozilla Firefox.
- %appdata%\Mozilla\Firefox\Profiles
- key4.db
- cert9.db
- formhistory.sqlite
- cookies.sqlite
- logins.json
- places.sqlite
- It exfiltrates data from the following appilication.
- AnyDesk
- .conf
- %appdata%\AnyDesk
- FileZilla
- recentservers.xml
- sitemanager.xml
- KeePass
- .kbdx
- Steam
- ssfn*
- %programfiles%\Steam\config
- Telegram
- s*
- AnyDesk
- It exfiltrates User Data found on the following Browsers.
- Chrome
- Chromium
- Edge
- Kometa
- Opera Stable
- Opera GX Stable
- Opera Neon
- Brave Software
- Comodo
- CocCoc
- It exfiltrates data on the following crypto wallets.
- Binance
- Electrum
- Ethereum
- Exodus
- Ledger Live
- Atomic
- Coinomi
- Authy Desktop
- Bitcoin core
- JAXX New Version
- It exfiltrates data found on the following mail client applications.
- Windows Mail
- %localappdata%\Microsoft\Windows Mail\Local Folders
- .eml
- The Bat!
- %localappdata%\The Bat!
- Mail Clients\The Bat\Local
- .TBB
- .TBN
- .MSG
- .EML
- .MSB
- .mbox
- .ABD
- .FLX
- .TBK
- .HBI
- Thunderbird
- %appdata%\Thunderbird\Profiles
- PMAIL
- .CNM
- .PMF
- .PMN
- .PML
- CACHE.PM
- .WPM
- .PM
- .USR
- Mailbird
- Mail Clients\Mailbird
- \MessageIndex
- .db
- eM Client
- .dat
- .dat-shm
- .dat-wal
- Windows Mail
- It exfiltrates crypto currency browser wallet extensions and 2FA applications.
Soluciones
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como TrojanSpy.MSIL.LUMMAC.C En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!