а рашен маркет разве не был скомпроментирован?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Группировка Angry Likho использует стилер Lumma против госорганизаций и их подрядчиков
- Автор темы Desconocido
- Дата начала
Писал уже выше, как тогда фильтровать? Если у чела включен VPN и винда английская, например? Выводить месаджбокс о его родословной?
Я тоже выше писал про это. Тачка рф с включеным впн, точно сложно определить. Также как говорят выше, логи снг, элементарно предположение Педрилы включают впн с ip рф = вот равно что логи снг,кто то просто нашёл как менять проверку в файле вот и кошмарят.
Мб русскоязычные зарубежем хватанули? Из скрина не ясно откуда отстучало.
Искал телеметрию у АВ-контор и наткнулся на свежий отчет от ESET https://www.eset.com/blog/business/lumma-stealer-a-fast-growing-infostealer-threat-1/
Стран СНГ в перечне нет, хотя я так понял список относится только к популярным направлениям.
Как вариант. Автору, в софт добавить отстук на свой не запланированный сервак. Ну а что? Если пользователи не добросовестные. При этом ещё привязку делать по ip - то есть одноразовый отстук, и выкидывай билд) и ценник на билд поднять. Думайте, думайте.
не слышал про это, работает также стабильно, только домен поменяли и все, а то много кто зеркала делает
флагов РФ нет на рашнмаркете под продуктом люммы, но ради любопытства могу купить этот лог и выложить по ссылке, в нем и можно увидеть будет подробности, по userinfo и т.д.
Тут прям на скрине написано: Netherlands, ISP: Servers Tech Fzco.
Этот ISP мне уже встречался, это какой-то VPS\VDS хостер, так что это вполне может быть чья-то рабочая впска, на стандартной англ винде, размещенная в нидерландах, даже не впн.
А то, что там файлы на ру - по сути ничего не значит и такой фильтр добавлять - это уже перебор.
Привожу сразу пример почему перебор:
Игорь - крутой спец, 20 лет коммерческого опыта за плечами (похер кто он, дизайнер, сисадмин, кодер, бухгалтер), работает удаленно. Игорь работает в компании "Y", для всех рабочих моментов компания выдала удаленный сервер, к которому он подключается по рдп и все, что связано с работой происходит только на этом сервер. Сервер физически находится в офисе компании Y, в Бирмингеме, и естественно подключен к внутренней сети. И вот Игорь по своей глупости запускает на рабочем сервере стиллер (или любой другой софт). Так как Игорь родом из Средне-Урюпинска, получил вышку в Питере, то все рабочие заметки он пишет на русском языке, все файлы заметок подписывает так же, но так как сервер в Бирмингеме, винда там на английском.
Должен стилак тут отстучать? Как по мне, очевидно, что должен. Это не работа по СНГ, а сотрудников из СНГ сейчас можно найти в каждой второй крупной компании, если не в каждой первой.
Включенный ВПН\Удаленный сервер + английская винда, но файлы на русском языке - это в 99% случаев не рандомная домохозяйка. Это либо кто-то упоротый в безопасность (но не достаточно, раз стилак у себя запускает), либо какой-то русскоговорящий уехавший \ работающий за бугром. Если случай упоротого еще можно притянуть за уши как работу по СНГ, хотя он сам виноват, то вот второе как по мне уже не притягивается, с точки зрения того, как должен работать софт.
Последнее редактирование:
А чат люммы только для клиентов?
Это очень старые логи, все потому, что раньше проверка была только по IP-адресу, а сейчас (с лета 2024 года) добавлена проверка и на локаль в том числе. Как видим IP адрес тут Нидерландов.
как то не похоже на старый
Я бы на месте касперского ахуел, если бы мне владелец одного из самых крупных стиллеров отписал в тг с возмущениями)
Очень интересно, что они ответили дальше)
Я знаю макак, которые запускали антиСНГ стилеры на РУ тачках, используя лодыри, которые юзают прокси, впн, ставят страну США и в регистрах что-то меняли, поэтому предлагаю доп.защиту, что можно было бы добавить проверку раскладок, чтоб там не было языков СНГ стран, конечно, думаю лодырь и это может исправить, но на какое-то время проблема решится думаю. Я сам сижу под впн постоянно и у меня американская десятая винда на одном из компьютеров, думаю, на моей тачке бы отрабатоло запросто, поэтому вижу решение через проверку языков, которые доступны, если кликать Шифт+Альт.
Люму очень уважаю, верю на слово. Всем Мир.
как ваще до такого додуматься можно интересно
с таким подходом думаю любая антиснг проверка теряет смысл
Да по факту проверки нету, это защита от дурака. Свой ip накрыл впном, вот и всё. Например реальный ip тачка рф, накрыл ip рф вмпом юса, софт будет видить ip юса. Вот и вся проверка.
Я выше несколько раз написал выше, что кроме проверки на IP, с лета 2024 года у нас еще и проверка локали (язык системы).
Открываем файл System.txt и видим там
Language: en-US
По итогу IP-адрес у него был Нидерландов, а язык системы en-US. Обе проверки были пройдены. Полезная нагрузка сработала. Тут как бы мои полномочия ВСЁ.
Давайте скоректируем ответ:
Полномочия все, в рамках сохранения стабильности отстука
Можно сделать проверку файлов\папок на ру\укр\другие языки
Можно проверить имя пользователя
Можно проверить языки программного обеспечения
Можно попробовать вырубить прокси\впн
Но таким образом если пендос скачает себе хоть что то русское - отстука не будет
Яркий пример описали выше: русский работает по удаленке, все русское кроме самой корпы - а стука не будет из за проверок
Проверка локали, всё это понятно. Я например ставил себе винду и выбрал локаль япония. Но ip то всё равно рф))) защита от дурака, все это понимают. В билде достаточно заменить пару байт, и нету проверки.
Так проверка еще на сервере проводится же