前言概述

Lumma Stealer(又名LummaC2 Stealer)是一种信息窃取程序，自2022年8月起就已通过俄语论坛上的恶意软件即服务(MaaS)模式运营，笔者近日捕获到该家族的最新的攻击链样本，使用Pyramid作为远程服务器下载恶意软件，对该攻击链样本进行了详细分析，发现有点意思，分享出来供大家参考学习。

详细分析

1.初始样本为一个短链接，打开之后，会跳转到另外一个网站，如下所示：

[出自:jiwo.org]

2.勾选对话框之后会弹出提示，如下所示：

3.按上面的指令，会将一段恶意Power Shell脚本复制到CMD命令执行框，如下所示：

4.恶意Power Shell脚本内容，如下所示：

5.从GitHub远程服务器上下载执行另外一段恶意脚本，恶意脚本代码，如下所示：

6.通过Base64解密上面的恶意脚本之后，如下所示：

7.解密出来的恶意脚本会从网上下载python程序压缩包并解压缩，然后会执行另外一段恶意脚本，解密该恶意脚本之后，如下所示：

8.恶意脚本会从Drop Box远程服务器上下载另外一段恶意Python代码，如下所示：

9.下载执行的恶意Python代码，如下所示：

10.解密上面的Python代码之后，会从Pyramid服务器上下载解密并执行相关的恶意代码，如下所示：

11.Pyramid服务器的访问帐号和密码信息，如下所示：

12.通过解密出来的特定URL链接访问Pyramid服务器，由于分析的时候的该Pyramid服务器已经关闭，笔者在该恶意攻击者的GitHub上找到关联的最新的攻击样本，如下所示：

13.跟上面一样，逐层解密里面的恶意脚本之后，会从Drop Box远程服务器上下载一个恶意Python脚本，如下所示：

14.下载的恶意Python脚本，与上面类似，如下所示：

15.解密上面的Python脚本之后，同样使用Pyramid服务器作为载体，下载执行后面的恶意代码，只是服务器IP变了，如下所示：

16.解密出访问的URL链接，如下所示：

17.访问该URL链接，需要脚本中的帐号和密码，然后下载恶意代码，如下所示：

18.下载的恶意代码，如下所示：

19.再解密从Pyramid服务器下载回来的恶意代码，根据条件选择使用ChaCha20或XOR算法解密，如下所示：

20.通过分析发现使用ChaCha20算法解密，解密Key和IV包含在脚本中，恶意代码解密之后，是另外一个恶意Python脚本，如下所示：

21.该恶意脚本同样使用Pyramid服务器作为载体，下载执行后面的恶意代码，先从服务器上下载解密需要的模块，如下所示：

22.然后下载解密解压缩需要的windows模块，如下所示：

23.下载解密解压缩之后，如下所示：

24.最后下载解密恶意模块，并通过上面的模块，在内存中加载执行，如下所示：

25.下载解密的恶意模块，编译时间为2025年1月12日，如下所示：

26.恶意模块，启动rundll32.exe进程，然后将恶意PayLoad注入到进程当中，如下所示：

27.注入的PayLoad代码，如下所示：

28.PayLoad入口点代码，如下所示：

29.里面使用了大量的XOR解密操作，如下所示：

30.与此前分析的Lumma Stealer窃密木马相似，解密出来的C2域名为apporholis.shop，如下所示：

到此整个Lumma Stealer攻击链的样本就全部分析完毕了，通过使用Pyramid服务器作为服务器载体，然后解密特定的URL和请求头信息获取加密的数据，再解密执行，有点意思，恶意脚本和二进制样本都使用了多种加密方式来逃避杀毒软件的查杀，目前为止大部分链接已经失效，服务器关闭了，很多样本已经拿不到了，笔者在最短的时间内，通过快速分析拿到了该窃密木马最新的完整的攻击链样本，通过恶意软件威胁情报数据平台显示Lumma Stealer应该是全球最近一两年最流行的窃密木马了，还针对数字货币人员进行过定向的钓鱼攻击，盗取数字货币。

威胁情报