Investigação sobre Configuração do Trojan RAT "LuminosityLink"

Nas últimas semanas, um grupo de pesquisadores passou um bom tempo investigando a configuração de um RAT incorporada ao malware LuminosityLink Remote Access Trojan. Para quem não sabe, LuminosityLink é uma família de malware que custa US$ 40, e que pretende ser um utilitário de administração do sistema. No entanto, quando executado, o malware utiliza um keylogger muito agressivo, bem como uma série de outras características maliciosas que permitem a um atacante obter o controle total sobre a máquina da vítima. A pedido de um outro pesquisador, foi feita a extração da configuração de uma amostra do LuminosityLink, e enquanto o profissional poderia simplesmente ter executado o malware em um ambiente de modo seguro e tido acesso a configuração da memória, ele escolheu verificar se poderia executar a mesma ação contra o binário estático. Isso o levou a compreender como a configuração é criptografada dentro do binário, bem como a forma de analisar essa configuração.


Dessa forma, foi criado um script para executar esta ação contra uma amostra do malware LuminosityLink para que permanecesse inalterado, e assim, poderia ser compartilhada dentro desta postagem. Além disso, foi feita uma análise minuciosa das amostras de cerca de 18.000 LuminosityLink, sendo estas recolhidas ao longo do tempo. e usando esse script, havia a plena capacidade de extrair as configurações de 14.700 amostras. Em uma visão geral relacionada ao LuminosityLink, ele surgiu originalmente no mês de maio de 2015. Assim, a sua surpreendente popularidade só tem vindo a aumentar. Até à data, a Palo Alto Networks rastreou aproximadamente 50.000 tentativas de infecções a partir das atividades maliciosas de LuminosityLink contra os seus clientes.

Saiba Mais:

[1] Softpedia http://researchcenter.paloaltonetwor...configuration/