Lumma窃密软件感染链分析:AutoIt脚本滥用与后续恶意软件部署

本文详细分析了2025年9月24日发现的Lumma窃密软件感染事件,包括通过虚假软件破解网站传播的感染链、AutoIt脚本语言滥用技术、混淆批处理脚本,以及可能为GhostSocks/Go后门的后续恶意软件部署过程。

2025年9月24日(周三):Lumma窃密软件感染与后续恶意软件(可能为GhostSocks/Go后门)

注意事项

  • 压缩文件受密码保护。请注意,该网站采用了新的密码方案。密码请参见网站"关于"页面。

关联文件

  • 2025-09-24-IOCs-from-Lumma-Stealer-infection.txt.zip - 2.5 kB (2,458字节)
  • 2025-09-24-traffic-from-running-Setup.exe.pcap.zip - 16.2 MB (16,217,604字节)
  • 2025-09-24-files-from-Lumma-Stealer-infection.zip - 46.4 MB (46,353,200字节)

感染过程分析

初始感染途径

  • 这是针对搜索破解软件用户分发的Lumma窃密软件示例
  • 感染链滥用AutoIt脚本语言来隐藏恶意活动
  • 混淆的批处理脚本、.cab文件和误导性文件扩展名也有助于逃避检测

初始ZIP存档下载路径

  • hxxps[:]//www.facebook[.]com/media/set/?set=a.745017525066326&type=3
  • hxxps[:]//abbaspcs[.]info/download-link
  • hxxps[:]//4bind3[.]cfd/direct99?s=11
  • hxxps[:]//hitmeup[.]space/?utmPass=igYOMCCz51Iq7MY&date=1758753927&token=QJllKYk&=61
  • hxxps[:]//mega[.]nz/file/rEMzUL6R#ghKhnAaeIkBNUBfTwO0i5Wp0KYNPlQGRHogdzwCm-dM

下载的恶意软件和提取的文件

初始ZIP存档

  • SHA256哈希:7833707c8c589b667c5450ad4a66dcb63d5b2bbc727e48b120a7c0d6a93ecff3
  • 文件大小:27,840,159字节
  • 文件类型:Zip存档数据

受密码保护的7-Zip存档

  • SHA256哈希:787bd213c2065da67b906716e08c6bada8cda63ce468efb7f5c3b2b5747dfe2d
  • 文件大小:4,517,837字节
  • 文件类型:7-zip存档数据,版本0.4
  • 密码:2025

Lumma窃密软件EXE文件

  • SHA256哈希:706a49b55ba73d1294bdad8570017230a5c66a0e5d171d6ad20830226c096c50
  • 文件大小:1,142,333字节
  • 文件名称:Setup.exe
  • 文件类型:PE32可执行文件(GUI)Intel 80386,适用于MS Windows

感染文件列表

临时目录中的文件 

1
2
3
4
5

C:\Users\[username]\AppData\Local\Temp\Antique.wmv
C:\Users\[username]\AppData\Local\Temp\Athletic.wmv
C:\Users\[username]\AppData\Local\Temp\Newbie.wmv
C:\Users\[username]\AppData\Local\Temp\Power.wmv
C:\Users\[username]\AppData\Local\Temp\Private.wmv

临时目录中的文件夹 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

C:\Users\[username]\AppData\Local\Temp\Archived
C:\Users\[username]\AppData\Local\Temp\Argue
C:\Users\[username]\AppData\Local\Temp\Carlo
C:\Users\[username]\AppData\Local\Temp\Char
C:\Users\[username]\AppData\Local\Temp\Forecasts
C:\Users\[username]\AppData\Local\Temp\Gl
C:\Users\[username]\AppData\Local\Temp\Incidence
C:\Users\[username]\AppData\Local\Temp\Interested
C:\Users\[username]\AppData\Local\Temp\Kent
C:\Users\[username]\AppData\Local\Temp\Measuring
C:\Users\[username]\AppData\Local\Temp\Problem
C:\Users\[username]\AppData\Local\Temp\Relatively

特定目录中的文件 

1
2

C:\Users\[username]\AppData\Local\Temp\519261\Consumer.scr
C:\Users\[username]\AppData\Local\Temp\HATBDFPHB2P9ISL6W008RJ.exe

关键恶意文件分析

混淆脚本文件

  • SHA256哈希:f01f40dfefb50202d4e83fe14d3dc9ec5eec1f5480702e8783462dfc2bfaa9e8
  • 文件位置:C:\Users\[username]\AppData\Local\Temp\Power.wmv
  • 文件类型:ASCII文本,具有很长的行(433行)
  • 文件描述:用于创建AutoIt3.exe和.a3x文件副本的混淆脚本

CAB文件

  • SHA256哈希:65194fff5b442e5b04473606feb4a2d9e00582028e4a3c60c4c3bafd2c815698
  • 文件位置:C:\Users\[username]\AppData\Local\Temp\Newbie.wmv
  • 文件类型:数据
  • 文件描述:包含用于创建AutoIt3.exe副本内容的.cab文件

AutoIt3.exe副本

  • SHA256哈希:3ec9740bedc683021cc3e94e4a33b3a9d3d6f9b9e96b1f04cc6534f551dd58c1
  • 文件位置:C:\Users\[username]\AppData\Local\Temp\519261\Consumer.scr
  • 文件类型:PE32可执行文件(GUI)Intel 80386,适用于MS Windows
  • 文件描述:从上述.cab文件内容创建的AutoIt3.exe副本

Lumma窃密软件的A3X文件

  • SHA256哈希:323eeece9d4bc731917865e36c47ece6d21a74f79bdc67b11a51eb3339c6ae7a
  • 文件大小:524,409字节
  • 文件类型:数据
  • 文件描述:安装程序创建的Lumma窃密软件的.a3x文件
  • 沙箱分析:https://app.any.run/tasks/2315f695-ab53-482e-94a6-9a24fd50f682

后续恶意软件(可能为GhostSocks/Go后门)

  • SHA256哈希:f9716135b3eb5b91e697cb02fda30a5c1d0de0867382d9f5b99ac576d9bacf48
  • 文件大小:10,647,040字节
  • 文件类型:PE32可执行文件(GUI)Intel 80386,适用于MS Windows
  • 文件位置:
    • hxxp://86.54.24[.]25/Renewable.exe
    • C:\Users[username]\AppData\Local\Temp\HATBDFPHB2P9ISL6W008RJ.exe

命令与控制(C2)流量

Lumma窃密软件C2流量

  • 164.90.129[.]126:443 - fixatmu[.]pics - HTTPS流量(TLSv1.3)

后续恶意软件C2流量

  • 91.212.166[.]19:443 - HTTPS流量(TLSv1.3)
  • 91.84.106[.]132:22789 - HTTPS流量(TLSv1.3)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次