Malware Analysis Report

2024-11-15 06:16

Sample ID 240224-z514xsfe5t
Target a2c590c0f51947e84be220458f227f9d
SHA256 d95763c28fb36203a28a7d65adafd6a16a700b6c32f7dea7fe44d6ebe271696f
Tags
lumma stealer
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

d95763c28fb36203a28a7d65adafd6a16a700b6c32f7dea7fe44d6ebe271696f

Threat Level: Known bad

The file a2c590c0f51947e84be220458f227f9d was found to be: Known bad.

Malicious Activity Summary

lumma stealer

Detect Lumma Stealer payload V4

Lumma Stealer

Executes dropped EXE

Loads dropped DLL

Drops file in System32 directory

Unsigned PE

Suspicious use of WriteProcessMemory

MITRE ATT&CK

N/A

Analysis: static1

Detonation Overview

Reported

2024-02-24 21:18

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-02-24 21:18

Reported

2024-02-24 21:21

Platform

win7-20240221-en

Max time kernel

148s

Max time network

120s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe"

Signatures

Detect Lumma Stealer payload V4

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A

Lumma Stealer

stealer lumma

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\Lune.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File opened for modification C:\Windows\SysWOW64\Lune.exe C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe

"C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe"

C:\Windows\SysWOW64\Lune.exe

C:\Windows\system32\Lune.exe

Network

N/A

Files

memory/2344-0-0x0000000000400000-0x0000000000449000-memory.dmp

\Windows\SysWOW64\Lune.exe

MD5 a2c590c0f51947e84be220458f227f9d
SHA1 a1a2785f636caf4ff7232ae9ff269175dde48a60
SHA256 d95763c28fb36203a28a7d65adafd6a16a700b6c32f7dea7fe44d6ebe271696f
SHA512 db2532ece10ec682fe73a0b8366e2a22e85e3b8c1edb8d32a5daf87b695f1f1e21b5a044439d24d2ad982f4fe542a56ee202437b2ba410591944baa35d91b392

memory/2344-3-0x0000000000730000-0x0000000000779000-memory.dmp

memory/2344-10-0x0000000000400000-0x0000000000449000-memory.dmp

memory/2344-11-0x0000000000730000-0x0000000000779000-memory.dmp

memory/2576-12-0x0000000000400000-0x0000000000449000-memory.dmp

Analysis: behavioral2

Detonation Overview

Submitted

2024-02-24 21:18

Reported

2024-02-24 21:21

Platform

win10v2004-20240221-en

Max time kernel

147s

Max time network

127s

Command Line

"C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe"

Signatures

Detect Lumma Stealer payload V4

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A

Lumma Stealer

stealer lumma

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\Lune.exe N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File opened for modification C:\Windows\SysWOW64\Lune.exe C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A
File created C:\Windows\SysWOW64\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe\Lune.exe C:\Windows\SysWOW64\Lune.exe N/A

Processes

C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe

"C:\Users\Admin\AppData\Local\Temp\a2c590c0f51947e84be220458f227f9d.exe"

C:\Windows\SysWOW64\Lune.exe

C:\Windows\system32\Lune.exe

Network

Country Destination Domain Proto
US 8.8.8.8:53 22.160.190.20.in-addr.arpa udp
US 8.8.8.8:53 190.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 103.169.127.40.in-addr.arpa udp
US 8.8.8.8:53 18.31.95.13.in-addr.arpa udp
US 8.8.8.8:53 140.71.91.104.in-addr.arpa udp
US 8.8.8.8:53 203.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 204.178.17.96.in-addr.arpa udp

Files

memory/4624-0-0x0000000000400000-0x0000000000449000-memory.dmp

C:\Windows\SysWOW64\Lune.exe

MD5 a2c590c0f51947e84be220458f227f9d
SHA1 a1a2785f636caf4ff7232ae9ff269175dde48a60
SHA256 d95763c28fb36203a28a7d65adafd6a16a700b6c32f7dea7fe44d6ebe271696f
SHA512 db2532ece10ec682fe73a0b8366e2a22e85e3b8c1edb8d32a5daf87b695f1f1e21b5a044439d24d2ad982f4fe542a56ee202437b2ba410591944baa35d91b392

memory/4624-4-0x0000000000400000-0x0000000000449000-memory.dmp

memory/4416-6-0x0000000000400000-0x0000000000449000-memory.dmp