ניתוח טכני: שרשרת ההדבקה של Lumma Stealer ו-Sectop RAT ומנגנוני התחמקות מתקדמים

מבוא

לאחרונה, חוקרי האבטחה של SANS Internet Storm Center (ISC) זיהו וניתחו קמפיין תקיפה מתוחכם המשלב שתי משפחות נוזקה מתקדמות: Lumma Stealer (נוזקת “גונבת מידע”) ו-Sectop RAT (סוס טרויאני לשליטה מרחוק). הפוסט הטכני מדגיש את שיטות ההפצה וההתחמקות הייחודיות של התוקפים, שמטרתן לעקוף מערכות אבטחה מודרניות כגון EDR וארגזי חול (Sandboxes).

וקטור התקיפה הראשוני מבוסס על הנדסה חברתית. התוקפים מפתים משתמשים להוריד “תוכנות פרוצות” - במקרה המנותח בפוסט, קובץ התחזה להתקנה של תוכנת עריכת הווידאו הפופולרית “Adobe Premiere Pro 2026”.

שלב ראשון: הפצה והתחמקות מבוססת הצפנה (ארכיונים מוגני סיסמה)

השלב הראשון בשרשרת מבוסס על התחמקות ממערכות סינון ראשוניות כמו שרתי דואר (SEG) ופתרונות סינון גלישה (SWG). הנוזקה מופצת ארוזה בתוך קובץ ארכיון מסוג 7-zip. עם זאת, כדי למנוע ממנועי אנטי-וירוס אוטומטיים לפתוח ולסרוק את הקובץ בזמן אמת, הארכיון מוגן בסיסמה.

הסיסמה הנדרשת לחילוץ הקבצים מסופקת למשתמש בצורה גלויה, בדרך כלל בעמוד ההורדה של “התוכנה הפרוצה”. בכך, התוקפים מעבירים את האחריות על פתיחת הארכיון אל הקורבן עצמו, שעוקף עבורם את קו ההגנה הראשון של הארגון.

עמוד ההורדה של "התוכנה הפרוצה" — הסיסמה לחילוץ הארכיון מוצגת בגלוי למשתמש (מקור: SANS ISC) מקור: SANS Internet Storm Center — Bradley Duncan

שלב שני: מנגנון ניפוח הקבצים (File Inflation / Binary Padding)

החידוש המעניין ביותר בשרשרת הדבקה זו הוא השימוש בטכניקה המכונה “ניפוח קבצים” (File Inflation או Binary Padding). לאחר שהמשתמש מזין את הסיסמה ומחלץ את תוכן הארכיון, נוצר במערכת קובץ הפעלה (.exe) של Windows שגודלו עצום - כ-806 מגה-בייט.

כיצד הנוזקה עוברת ברשת מבלי שמשך ההורדה יחשיד את המשתמש? התוקפים מוסיפים לקובץ ההרצה המקורי מאות מגה-בייטים של תווי “אפס” (Null-bytes / 0x00). מכיוון שמדובר ברצף ארוך של נתונים זהים, אלגוריתם הדחיסה החזק של פורמט 7z (בדרך כלל LZMA2) מצליח לדחוס את הקובץ המנופח ליחס דחיסה אסטרונומי. התוצאה: קובץ ההורדה שוקל כ-3.8 מגה-בייט בלבד, אך נפתח ל-806 מגה-בייט על הדיסק.

המטרה של טכניקת הניפוח היא לעקוף מערכות Sandbox וסורקי אבטחה. פתרונות אבטחה רבים מגבילים את גודל הקבצים שהם סורקים (לרוב חסם של 50 עד 100 מגה-בייט) כדי לא לפגוע בביצועי המערכת (CPU, RAM). כתוצאה מכך, קובץ השוקל מעל 800 מגה-בייט פשוט לא נסרק במלואו או שנדלג על ידי מערכת ה-EDR, מה שמאפשר לו לרוץ באין מפריע.

שלב שלישי: ביצוע ומַטְעֵדים - מאיסוף נתונים ועד דלת אחורית

עם הרצת קובץ ההתקנה לכאורה, המַטְעֵד (Payload) הראשון שמופעל הוא Lumma Stealer. נוזקה זו, הנמכרת כשירות (MaaS) ברשת האפלה, מתוכננת לשאוב מידע רגיש מהמחשב: ססמאות שמורות בדפדפן, עוגיות (Cookies) המאפשרות השתלטות על חשבונות גם ללא ססמה, נתוני כרטיסי אשראי ופרטי ארנקי קריפטו.

לאחר איסוף המידע ושידורו החוצה לשרתי השליטה והבקרה (C2), שרשרת ההדבקה ממשיכה ומובילה להתקנת מַטְעֵד נוסף - Sectop RAT (המכונה גם ArechClient2). זוהי נוזקת דלת אחורית המספקת לתוקף יכולות שליטה מרחוק מלאות. היא מאפשרת הזרקת פקודות למערכת, העלאת והורדת קבצים נוספים (כמו כופרה), ואף צפייה חשאית במסך הקורבן.

תעבורת הרשת מהזיהום כפי שנלכדה ב-Wireshark — תקשורת C2 לשרת 91.92.241.102 (מקור: SANS ISC) מקור: SANS Internet Storm Center — Bradley Duncan

Sectop RAT מבסס קביעות (Persistence) על Windows — הנוזקה ממשיכה לפעול לאחר הפעלת המחשב מחדש (מקור: SANS ISC) מקור: SANS Internet Storm Center — Bradley Duncan

סיכום והמלצות הגנה מול האיום

הקמפיין מדגים כיצד תוקפים יכולים לשלב טכניקות פשוטות לכאורה (ארכיון נעול וניפוח קבצים) כדי לנטרל מנגנוני הגנה מתוחכמים. כדי להתגונן, מומלץ לאמץ את הצעדים הבאים:

ניטור EDR מותאם: יצירת חוקי ציד (Threat Hunting) לזיהוי הרצה של קבצי .exe בעלי נפח חריג במיוחד מתוך ספריות המשתמש (Downloads או AppData).
חסימת קבצים מוצפנים: שקילת החלת מדיניות מחמירה בשערי הדואר הארגוני לחסימת קבצי zip/7z מוגני סיסמה.
חינוך והגברת מודעות: הדרכת עובדים באופן שוטף לגבי הסיכונים החמורים שבהורדת “תוכנות פרוצות” ממקורות לא מאומתים, תוך אזהרה מפני ארכיונים הדורשים סיסמה לחילוץ.