Операция вредоносного ПО Lumma по краже информации постепенно возобновляет свою деятельность после масштабной операции правоохранительных органов в мае, в результате которой было арестовано 2300 доменов и части их инфраструктуры.
Хотя платформа Lumma, предоставляющая вредоносные программы как услугу (MaaS), серьезно пострадала от , что подтверждается о деятельности по краже информации в начале июня, она не закрылась.
Операторы немедленно признали наличие проблемы на форумах XSS, но заявили, что их центральный сервер не был захвачен (хотя данные с него были удалены), и работы по восстановлению уже ведутся.
Источник: Trend Micro
Постепенно MaaS восстановился и завоевал доверие в сообществе киберпреступников, и теперь снова облегчает операции по краже информации на нескольких платформах.
По данным аналитиков Trend Micro, активность Lumma практически вернулась к уровню, предшествовавшему блокировке, а данные телеметрии компании по кибербезопасности указывают на быстрое восстановление инфраструктуры.
«После действий правоохранительных органов в отношении Lumma Stealer и связанной с ней инфраструктуры наша команда обнаружила явные признаки возобновления деятельности Lumma», — .
«Сетевая телеметрия показывает, что инфраструктура Lumma начала снова набирать обороты в течение нескольких недель после закрытия».
Источник: Trend Micro
Trend Micro сообщает, что Lumma по-прежнему использует легитимную облачную инфраструктуру для маскировки вредоносного трафика, но теперь перешла с Cloudflare на альтернативных провайдеров, в первую очередь на российскую Selectel, чтобы избежать блокировок.
Исследователи выделили четыре канала распространения, которые Lumma в настоящее время использует для выявления новых случаев заражения, что указывает на полноценный возврат к многогранному таргетингу.
- Поддельные кряки/кейгены : Поддельные кряки и кейгены продвигаются с помощью вредоносной рекламы и поддельных результатов поиска. Жертвы перенаправляются на мошеннические веб-сайты, которые сканируют их системы с помощью систем обнаружения трафика (TDS) перед загрузкой Lumma Downloader.
- ClickFix : Взломанные веб-сайты отображают поддельные страницы CAPTCHA, которые обманным путём заставляют пользователей выполнять команды PowerShell. Эти команды загружают Lumma непосредственно в память, помогая ей обходить механизмы обнаружения на основе файлов.
- GitHub : Злоумышленники активно создают репозитории GitHub с контентом, сгенерированным искусственным интеллектом, рекламирующим поддельные игровые читы. В этих репозиториях размещаются полезные нагрузки Lumma, такие как TempSpoofer.exe, в виде исполняемых файлов или ZIP-архивов.
- YouTube/Facebook : В настоящее время Lumma распространяется также через видеоролики на YouTube и публикации в Facebook, рекламирующие взломанное ПО. Эти ссылки ведут на внешние сайты, размещающие вредоносное ПО Lumma, которое иногда использует доверенные сервисы, такие как sites.google.com, для создания видимости доверия.
Источник: Trend Micro
Возрождение Луммы как серьезной угрозы показывает, что действия правоохранительных органов, за исключением арестов или хотя бы предъявления обвинений, неэффективны в прекращении деятельности этих решительных злоумышленников.
Операции MaaS, такие как Lumma, невероятно прибыльны, и ведущие операторы, стоящие за ними, вероятно, рассматривают действия правоохранительных органов как обычные препятствия, которые им просто нужно преодолеть.
