Группировка Angry Likho использует стилер Lumma против госорганизаций и их подрядчиков

[HikMbed]

Так проверка еще на сервере проводится же

Так в любом случае защита от дурака.

 

[Tr0jan_Horse]

как ваще до такого додуматься можно интересно
с таким подходом думаю любая антиснг проверка теряет смысл

Надо бороться, ну есть ещё идеи, например, можно проверять настройки браузера, они по-любому в конфигурационном файле, что если браузер РУ или какой-то СНГшный, то останавливать работу

 

[Quake3]

нашёл как менять проверку в файле

Она там меняется элементарно, и как минимум тремя разными способами; но уже писал, это не крекми, чтобы играться еще и с защитой от реверсера.
Все проверки должны быть на стороне сервера, и в данном случае есть фильтр по айпи; а добавлять что-то еще == терять % отстука. Ну банально как какие-то лохеры проверяли раскладку клавиатуры, и хитрые пендосы спецом ставили себе еще и русскую. Это бред все, хотя решать конечно автору, но я бы болт забил.

 

[varwar]

Она там меняется элементарно, и как минимум тремя разными способами; но уже писал, это не крекми, чтобы играться еще и с защитой от реверсера.
Все проверки должны быть на стороне сервера, и в данном случае есть фильтр по айпи; а добавлять что-то еще == терять % отстука. Ну банально как какие-то лохеры проверяли раскладку клавиатуры, и хитрые пендосы спецом ставили себе еще и русскую. Это бред все, хотя решать конечно автору, но я бы болт забил.

Можно попробовать еще физическое местоположение компа проверять дополнительно.

System.Device.Location Namespace

Allows application developers to easily access the computer's location by using a single API. Location information may come from multiple providers, such as GPS, Wi-Fi triangulation, and cell phone tower triangulation. The System.Device.Location classes provide a single API to encapsulate the...

learn.microsoft.com

GeoCoordinateWatcher Class (System.Device.Location)

Supplies location data that is based on latitude and longitude coordinates.

learn.microsoft.com

Кодес с ChatGPT, но рабочий.

Add-Type -AssemblyName System.Device
$GeoWatcher = New-Object System.Device.Location.GeoCoordinateWatcher
$GeoWatcher.Start()
while (($GeoWatcher.Status -ne 'Ready') -and ($GeoWatcher.Permission -ne 'Denied')) {
    Start-Sleep -Milliseconds 100
}
if ($GeoWatcher.Permission -eq 'Denied') {
    Write-Host "Permission denied"
} else {
    $GeoWatcher.Position.Location
}

Правда работает только на 10/11 Win c включенной геолокацией и придется низкоуровневую реализацию сделать.

 

[qwerty1337]

Я бы на месте касперского ахуел, если бы мне владелец одного из самых крупных стиллеров отписал в тг с возмущениями)

Теперь ждем извинений от касперского , мол зря хипиш подняли , работайте братья и т.д.

 

[xChimera]

Это очень старые логи, все потому, что раньше проверка была только по IP-адресу, а сейчас (с лета 2024 года) добавлена проверка и на локаль в том числе. Как видим IP адрес тут Нидерландов.

Analysis ce8ec776eb22c2bf9ec25fe36bd0dfa6617e4926103358b055fd55cdf7912328.exe (MD5: 69F6DCDB3D87392F300E9052DE99D7CE) Malicious activity - Interactive analysis ANY.RUN

Interactive malware hunting service. Live testing of most type of threats in any environments. No installation and no waiting necessary.

app.any.run

ce8ec776eb22c2bf9ec25fe36bd0dfa6617e4926103358b055fd55cdf7912328
прокладка - averageorganicfallfaw.shop
Как раз видим лето 2024

Из полезной нагрузки бьется только 1 хеш - faa47ecbcc846bf182e4ecf3f190a9f4, на люмму не нашел ни 1 намека в нем
Из имплантов - один ce8ec776eb22c2bf9ec25fe36bd0dfa6617e4926103358b055fd55cdf7912328

 

[fastkill]

https://www.microsoft.com/en-us/sec...s-and-capabilities-of-a-prolific-infostealer/ никого не смущает что на карте заражений рф и белокаменная большим спектром?

 

[Lumma]

https://www.microsoft.com/en-us/sec...s-and-capabilities-of-a-prolific-infostealer/ никого не смущает что на карте заражений рф и белокаменная большим спектром?

Это то, где были обнаружены сэмплы, они там не отрабатывали, об этом свидетельствует проверка на раскладку в билдах.