În luna mai a anului trecut, autoritățile de aplicare a legii din întreaga lume au obținut o victorie importantă prin dezactivarea infrastructurii lui Lumma, un infostealer care a infectat aproape 395.000 de calculatoare cu Windows în doar două luni, până la operațiunea internațională. Cercetătorii au declarat miercuri că Lumma este din nou „prezent masiv” în atacuri greu de detectat care fură credențiale și fișiere sensibile.
Lumma, cunoscut și sub numele de Lumma Stealer, a apărut pentru prima dată pe forumurile de cybercrime vorbitoare de rusă în 2022. Modelul său de malware-as-a-service bazat pe cloud a oferit o infrastructură extinsă de domenii pentru găzduirea site-urilor de momeală care ofereau software gratuit crackuit, jocuri și filme piratate, precum și canale de comandă și control și tot ce avea nevoie un actor de amenințare pentru a-și desfășura întreprinderea de furt de informații. În decurs de un an, Lumma a fost vândut pentru până la 2.500 de dolari pentru versiunile premium. Până în primăvara anului 2024, FBI a numărat peste 21.000 de listări pe forumurile de criminalitate. Anul trecut, Microsoft a spus că Lumma a devenit „instrumentul de bază” pentru mai multe grupuri criminale, inclusiv Scattered Spider, unul dintre cele mai prolifice grupuri.
FBI și o coaliție internațională a omologilor săi au luat măsuri la începutul anului trecut. În mai, au declarat că au confiscat 2.300 de domenii, infrastructură de comandă și control, și piețe de criminalitate care au permis infostealerului să prospere. Recent, totuși, malware-ul a revenit, permițându-i să infecteze din nou un număr semnificativ de mașini.
„LummaStealer este din nou prezent masiv, în ciuda unei importante intervenții a autorităților din 2025 care a perturbat mii de domenii de comandă și control ale sale”, au scris cercetătorii de la firma de securitate Bitdefender. „Operațiunea și-a reconstruit rapid infrastructura și continuă să se răspândească la nivel mondial.”
Ca și în cazul Lumma de dinainte, recenta creștere se bazează mult pe „ClickFix”, o formă de momeală de inginerie socială care se dovedește a fi extrem de eficientă în a determina utilizatorii să-și infecteze propriile mașini. De obicei, aceste tipuri de momeli iau forma unor CAPTCHA false care, în loc să solicite utilizatorilor să bifeze o casetă sau să identifice obiecte sau litere într-o imagine încurcată, le instruiesc să copieze textul și să-l lipească într-o interfață, un proces care durează doar câteva secunde. Textul este sub formă de comenzi rău intenționate furnizate de CAPTCHA fals. Interfața este terminalul Windows. Țintele care se conformează instalează apoi malware-ul loader, care, la rândul său, instalează Lumma.
O parte esențială a renașterii este utilizarea CastleLoader, un malware separat care este instalat inițial. Acesta rulează exclusiv în memorie, făcându-l mult mai greu de detectat decât malware-ul care rezidă pe un hard drive. Codul său este puternic obfuscat, făcându-l greu de recunoscut ca fiind rău intenționat chiar și când scanerele de malware îl pot vedea. CastleLoader oferă, de asemenea, un mecanism de comunicație flexibil și complet caracteristic pentru comandă și control pe care utilizatorii îl pot personaliza pentru a satisface nevoile lor specifice.
Lumma Stealer, malware, infostealer, securitate cibernetică, Windows, software crackuit, jocuri piratate, filme piratate, Microsoft, Scattered Spider, FBI, operațiuni internaționale, command-and-control, Bitdefender, ClickFix, inginerie socială, CastleLoader, cybercrime, rețea de malware, detectare malware
Sursa: Ars Tehnica Technology
Poll: Care este principala metodă de propagare a malware-ului Lumma Stealer menționată în articolul de mai sus?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply