Na první pohled působí web telegrampremium[.]app jako oficiální stránka prémiové služby populárního messengeru Telegram. Ve skutečnosti jde ale o promyšlenou podvodnou kampaň, která slouží k šíření nebezpečného malwaru Lumma Stealer. Uživatel nemusí nic potvrzovat ani stahovat – samotný vstup na stránku spustí automatické stažení souboru start.exe, v němž je ukrytý škodlivý kód.

Jak útok funguje

Malware je napsaný v jazycích C a C++ a využívá tzv. drive-by download techniku. To znamená, že k infikování zařízení stačí navštívit nebezpečný web. Samotný soubor je navíc maskovaný pomocí speciálních obfuskačních metod, takže se vyhne klasickým antivirovým kontrolám.

Po spuštění se Lumma Stealer okamžitě pustí do sbírání dat – od uložených hesel v prohlížečích, přes přístupové údaje ke kryptoměnovým peněženkám až po informace o samotném systému. Nebezpečné je, že se zároveň dokáže připojit nejen k legitimním službám, například k serverům Telegramu nebo Steam Community, ale i k utajeným doménám generovaným algoritmicky. Tím výrazně ztěžuje blokaci a vypnutí celé kampaně.

Zdroj: Shutterstock

Zajímavostí je i způsob, jakým se malware chová po napadení. Do složky %TEMP% ukládá soubory maskované jako obrázky nebo jiné neškodné přílohy, které později přejmenuje a spustí jako skripty. Využívá také funkce jako Sleep, aby oddálil spuštění a zmátl bezpečnostní analytiky, a LoadLibraryExW k nenápadnému načítání DLL knihoven.

Proč je těžké ho odhalit

Tvůrci Lumma Stealeru zjevně počítají s tím, že většina uživatelů spoléhá na klasické antivirové programy. Vysoká míra obfuskace a využívání běžných Windows API funkcí však znamenají, že malware dokáže dlouho unikat pozornosti. K tomu navíc přidává chytrý trik – posílá DNS dotazy přes Google DNS, čímž obchází firemní bezpečnostní filtry.

Celá kampaň je typickým příkladem krátkodobě nasazeného útoku. Doména byla registrována teprve nedávno a infrastruktura nasvědčuje tomu, že útočníci počítají s tím, že web bude rychle odhalen a zablokován.

Jak se chránit

Podobné útoky ukazují, že pouhé spoléhání na antivir nestačí. Bezpečnostní experti doporučují kombinaci technických opatření a zdravého rozumu:

• využívat moderní endpoint detection & response (EDR) nástroje, které dokáží rozpoznat podezřelé chování i bez virových signatur,
• blokovat přístup k nově registrovaným a podezřelým doménám,
• zavést přísná pravidla pro stahování souborů z internetu,
• používat multi-faktorovou autentizaci, která omezí následky případného úniku hesel,
• pravidelně měnit hesla a kontrolovat, zda se neobjevila v databázích uniklých dat,
• sledovat aktivitu v síti i na koncových stanicích, abyste mohli rychle reagovat na podezřelé chování.

Falešná stránka Telegram Premium je ukázkou toho, jak jednoduše mohou útočníci využít důvěry uživatelů ve známou značku. Podobné podvody navíc spoléhají na to, že se uživatel nechá zmást vizuálně věrným webem. Proto je důležité zachovat obezřetnost, neinstalovat neznámé soubory a při práci na internetu spoléhat na více vrstev ochrany.