Angry Likho kampány
A Kaspersky jelentése szerint az Angry Likho APT csoport (Sticky Werewolf) új támadási hullámot indított, amelyben a Lumma Stealer nevű adatlopó kártevőt alkalmazzák. Ezek a támadások elsősorban oroszországi kormányzati intézményeket és azok alvállalkozóit célozzák.
A csoport célzott adathalász e-maileket küld, amelyek rosszindulatú RAR archívumokat tartalmaznak. Ezek az archívumok két LNK fájlt és egy legitimnek tűnő csali dokumentumot rejtenek. A támadók obfuszkált AutoIt szkripteket használnak a kártevők telepítésére és végrehajtására, megnehezítve ezzel a detektálást és az elemzést.
Lumma Stealer egy információlopó kártevő, amely képes érzékeny adatok, például böngészőben tárolt jelszavak, sütik, bankkártya-információk és kriptovaluta pénztárcák adatainak ellopására. A kártevő célba veszi a MetaMask böngészőbővítményt és az Authenticator alkalmazást is, hogy megszerezze a kétfaktoros hitelesítési adatokat.
A Kaspersky kutatói dekódolták a kártevő által használt parancs- és vezérlőszerverek (C2) címét, és több mint 60 rosszindulatú implantátumot azonosítottak.
A vizsgálat során kiderült, hogy több száz áldozat található Oroszországban, valamint néhány Fehéroroszországban. A támadások főként orosz kormányzati intézményekre és azok alvállalkozóira irányulnak, amit a csali dokumentumok orosz nyelve és témája is alátámaszt.
