Кража данных, фальшивые квартиры и целая сеть подпольных сервисов.
Специалисты Insikt Group первое подробное расследование деятельности партнеров Lumma Stealer — одного из самых распространённых семейств , ориентированного на кражу данных. Работа охватывает период с середины 2024-го по первую половину 2025 года и раскрывает масштабную экосистему, поддерживающую работу Lumma. В её основе лежит не только сам вредонос, но и целый набор вспомогательных сервисов: прокси-сети, VPN, специализированные антидетект-браузеры для многопрофильной работы, сервисы по созданию эксплойтов и шифрованию, инструменты обхода защит и инфраструктура для устойчивого функционирования.
Одним из ключевых выводов стало то, что аффилиаты Lumma редко ограничиваются одной схемой. Например, зафиксированы случаи, когда один оператор параллельно участвовал в мошенничестве с арендой жилья и одновременно использовал несколько MaaS-сервисов — в том числе Vidar, Stealc и Meduza Stealer. Такой подход повышает гибкость операций, снижает риск разоблачения и позволяет сохранить доходность даже в случае блокировки отдельных инфраструктурных элементов правоохранительными органами.
Расследование выявило ранее неизвестные инструменты, включая взломанный валидатор почтовых учётных данных EMAIL SOFTWARE 1.4.0.9 и генератор фишинговых страниц DONUSSEF. Эти программы использовались для проверки украденных логинов, создания поддельных сайтов и проведения сопутствующих атак. Часть операторов Lumma активно задействует в связке с сервисами массовой рассылки писем, SMS-спама и поддельных страниц авторизации. Для обеспечения анонимности применяются прокси GhostSocks, ASocks, FACELESS и другие, а также VPN от ExpressVPN, NordVPN, Proton VPN и Surfshark. Для управления множеством аккаунтов злоумышленники полагаются на антидетект-браузеры Dolphin, Octo Browser и аналоги, позволяющие маскировать цифровые отпечатки.
Часть инфраструктуры строится на основе так называемого "пуленепробиваемого" хостинга (bulletproof hosting), включая AnonRDP, Bulletproof Hosting и HostCay, а также легальные платформы вроде MEGA или ImgBB. Для обхода антивирусов и почтовых фильтров аффилиаты используют сервис Hector, предоставляющий эксплойты и шифровальщики под различные форматы файлов, включая Excel и документы Office с макросами. Для тестирования заражённых файлов перед распространением применяются площадки вроде KleenScan, обещающие не делиться образцами с антивирусными компаниями.
Важнейшее звено экосистемы Lumma — киберпреступные форумы. Именно там ведётся рекрутинг новых участников, продаются криптеры, трафик и инфраструктура, а также реализуются украденные данные. Например, на Russian Market в 2024 году до 92% всех выставленных логов приходилось на Lumma. А специализированные позволяют быстро монетизировать украденные реквизиты карт и банковских аккаунтов. На форумах доступны и обучающие материалы, что снижает порог вхождения для новых участников, превращая такие сообщества в кадровую базу для преступных сетей.
Анализ также показал, что Lumma аффилиаты экспериментируют с различными схемами. Так, оператор под ником blackowl23 был замечен в мошенничестве на немецкой площадке WG-Gesucht: поддельные объявления о сдаче жилья подкреплялись фальшивыми ссылками на booking.com, а жертв убеждали внести предоплату. Для прикрытия использовались украденные учётные записи пользователей сайта. Другие акторы одновременно вели мошенничество с криптокошельками, банковскими логинами и доступами к корпоративным системам.
Несмотря на вмешательство правоохранительных органов весной 2025 года, Lumma продемонстрировала высокую устойчивость: инфраструктура восстанавливалась в течение нескольких дней, а активность аффилиатов не снизилась. Insikt Group подчёркивает, что экосистема выстроена децентрализованно: даже успешные операции против ядра сети способны лишь временно снизить интенсивность атак. Полное подавление возможно только при постоянном давлении со стороны правоохранительных органов и систематическом мониторинге и форумов.
Для защиты от подобных угроз эксперты советуют организациям контролировать утечку данных, использовать правила YARA, Sigma и Snort для выявления заражений, ограничивать скачивание с неизвестных ресурсов, обучать сотрудников распознавать редиректы и фальшивые страницы, а также отслеживать активность в даркнете. В долгосрочной перспективе защита требует не только технических средств, но и постоянного анализа преступного ландшафта, где Lumma продолжает оставаться одной из наиболее влиятельных сил.
Подробнее:
Специалисты Insikt Group первое подробное расследование деятельности партнеров Lumma Stealer — одного из самых распространённых семейств , ориентированного на кражу данных. Работа охватывает период с середины 2024-го по первую половину 2025 года и раскрывает масштабную экосистему, поддерживающую работу Lumma. В её основе лежит не только сам вредонос, но и целый набор вспомогательных сервисов: прокси-сети, VPN, специализированные антидетект-браузеры для многопрофильной работы, сервисы по созданию эксплойтов и шифрованию, инструменты обхода защит и инфраструктура для устойчивого функционирования.
Одним из ключевых выводов стало то, что аффилиаты Lumma редко ограничиваются одной схемой. Например, зафиксированы случаи, когда один оператор параллельно участвовал в мошенничестве с арендой жилья и одновременно использовал несколько MaaS-сервисов — в том числе Vidar, Stealc и Meduza Stealer. Такой подход повышает гибкость операций, снижает риск разоблачения и позволяет сохранить доходность даже в случае блокировки отдельных инфраструктурных элементов правоохранительными органами.
Расследование выявило ранее неизвестные инструменты, включая взломанный валидатор почтовых учётных данных EMAIL SOFTWARE 1.4.0.9 и генератор фишинговых страниц DONUSSEF. Эти программы использовались для проверки украденных логинов, создания поддельных сайтов и проведения сопутствующих атак. Часть операторов Lumma активно задействует в связке с сервисами массовой рассылки писем, SMS-спама и поддельных страниц авторизации. Для обеспечения анонимности применяются прокси GhostSocks, ASocks, FACELESS и другие, а также VPN от ExpressVPN, NordVPN, Proton VPN и Surfshark. Для управления множеством аккаунтов злоумышленники полагаются на антидетект-браузеры Dolphin, Octo Browser и аналоги, позволяющие маскировать цифровые отпечатки.
Часть инфраструктуры строится на основе так называемого "пуленепробиваемого" хостинга (bulletproof hosting), включая AnonRDP, Bulletproof Hosting и HostCay, а также легальные платформы вроде MEGA или ImgBB. Для обхода антивирусов и почтовых фильтров аффилиаты используют сервис Hector, предоставляющий эксплойты и шифровальщики под различные форматы файлов, включая Excel и документы Office с макросами. Для тестирования заражённых файлов перед распространением применяются площадки вроде KleenScan, обещающие не делиться образцами с антивирусными компаниями.
Важнейшее звено экосистемы Lumma — киберпреступные форумы. Именно там ведётся рекрутинг новых участников, продаются криптеры, трафик и инфраструктура, а также реализуются украденные данные. Например, на Russian Market в 2024 году до 92% всех выставленных логов приходилось на Lumma. А специализированные позволяют быстро монетизировать украденные реквизиты карт и банковских аккаунтов. На форумах доступны и обучающие материалы, что снижает порог вхождения для новых участников, превращая такие сообщества в кадровую базу для преступных сетей.
Анализ также показал, что Lumma аффилиаты экспериментируют с различными схемами. Так, оператор под ником blackowl23 был замечен в мошенничестве на немецкой площадке WG-Gesucht: поддельные объявления о сдаче жилья подкреплялись фальшивыми ссылками на booking.com, а жертв убеждали внести предоплату. Для прикрытия использовались украденные учётные записи пользователей сайта. Другие акторы одновременно вели мошенничество с криптокошельками, банковскими логинами и доступами к корпоративным системам.
Несмотря на вмешательство правоохранительных органов весной 2025 года, Lumma продемонстрировала высокую устойчивость: инфраструктура восстанавливалась в течение нескольких дней, а активность аффилиатов не снизилась. Insikt Group подчёркивает, что экосистема выстроена децентрализованно: даже успешные операции против ядра сети способны лишь временно снизить интенсивность атак. Полное подавление возможно только при постоянном давлении со стороны правоохранительных органов и систематическом мониторинге и форумов.
Для защиты от подобных угроз эксперты советуют организациям контролировать утечку данных, использовать правила YARA, Sigma и Snort для выявления заражений, ограничивать скачивание с неизвестных ресурсов, обучать сотрудников распознавать редиректы и фальшивые страницы, а также отслеживать активность в даркнете. В долгосрочной перспективе защита требует не только технических средств, но и постоянного анализа преступного ландшафта, где Lumma продолжает оставаться одной из наиболее влиятельных сил.
Подробнее:
