El Centro de Inteligencia de Seguridad de AhnLab (ASEC) ha descubierto una nueva campaña de ciberataque que aprovecha el malware LummaC2, que se distribuye bajo la apariencia de una versión crackeada de Total Commander.
Total Commander es una herramienta de administración de archivos de Windows ampliamente utilizada que ofrece funciones como búsqueda avanzada, sincronización de carpetas y compatibilidad con FTP/SFTP.
Si bien el software legítimo ofrece una prueba gratuita de un mes antes de exigir una licencia paga, los actores de amenazas han explotado su popularidad apuntando a usuarios que buscan versiones ilegales y descifradas de la herramienta.
El ataque comienza cuando los usuarios buscan «Total Commander Crack» en línea.
Entre los resultados de búsqueda, encuentran publicaciones que contienen enlaces para descargar el supuesto crack.
Estos enlaces redirigen a los usuarios a través de varias páginas, incluidas unidades de Google Colab y publicaciones disfrazadas de Reddit, antes de conducir a la página de descarga final.
Este proceso de varios pasos no está automatizado, pero requiere que los usuarios hagan clic manualmente en los enlaces, lo que indica que el ataque se dirige específicamente a personas que intentan obtener software pirateado.
El archivo descargado es un archivo ZIP protegido con contraseña que contiene un archivo RAR doblemente comprimido.
En su interior hay un ejecutable llamado “installer_1.05_38.2.exe”, que infecta el sistema con LummaC2 al ejecutarse.
El malware emplea técnicas avanzadas de ofuscación, incluidas múltiples capas de compresión mediante scripts NSIS y AutoIt.
Cuando se ejecuta, el script NSIS utiliza el comando ExecShell para ejecutar un script por lotes ofuscado (Nv.cmd).
Este script emplea técnicas como insertar variables en comandos y agregar cadenas sin sentido para dificultar el análisis.
Una vez desofuscado, queda claro que el script ejecuta una carga útil basada en AutoIt.
El script AutoIt incluye un binario LummaC2 cifrado y el código shell necesario para descifrarlo y cargarlo en la memoria en tiempo de ejecución.
LummaC2 es un malware de robo de información que ha estado activo desde principios de 2023.
Se dirige principalmente a los usuarios mediante descargas ilegales de software, como cracks o generadores en serie.
Una vez instalado en el sistema de una víctima, LummaC2 filtra datos confidenciales, incluidas credenciales almacenadas en el navegador, cuentas de correo electrónico, claves de billetera de criptomonedas y detalles de inicio de sesión automático para varios programas.
Los datos robados se envían a servidores de comando y control (C&C) operados por actores de amenazas y posteriormente pueden venderse en mercados de la web oscura o usarse para ataques secundarios.
Los informes de ASEC indican que las violaciones de datos personales causadas por infecciones LummaC2 han llevado a compromisos de redes corporativas en algunos casos, amplificando su impacto potencial.
Para mitigar los riesgos asociados con esta campaña de malware, se recomienda encarecidamente a los usuarios que descarguen software sólo de fuentes oficiales y eviten versiones pirateadas o descifradas de las aplicaciones.
Las organizaciones también deben implementar sólidas medidas de seguridad de endpoints para detectar y bloquear scripts y ejecutables maliciosos.
