Лабиринты Lumma: Вредоносное ПО как услуга в действии
Источник: securelist.com
Распространение вредоносного ПО как услуги (MaaS) стало заметной тенденцией на рынке киберугроз, способствуя развитию программ, похищающих информацию. Одним из ярких примеров является Lumma Stealer, который приобрел значительную популярность с момента своего запуска в 2022 году группой, известной как Lumma. Изначально разработанный под брендом LummaC2, этот изощренный взломщик уже утвердился на рынках даркнета и Telegram, а его цена начинается с 250 долларов. Как показывает статистика, растущая база пользователей Lumma превысила тысячу подписчиков по состоянию на март 2025 года.
Методы заражения и распространение
Методы доставки Lumma часто требуют человеческого взаимодействия, когда пользователей вводят в заблуждение и заставляют выполнять вредоносные команды. К основным тактикам, способствующим заражению, относятся:
- Фишинг
- Распространение через вредоносные вложения или ссылки
- Компрометация законных приложений
- Использование наборов эксплойтов и социальной инженерии
Особенно эффективным методом распространения Lumma является создание клонированных веб-сайтов для пиратского контента, которые перенаправляют пользователей на вредоносную капчу. При этом, доступ к такой странице извлекает команду PowerShell, которая загружается с удаленного сервера для автоматической установки вредоносного ПО.
Цепочка заражения
Цепочка заражения Lumma Stealer чрезвычайно сложна и включает в себя различные методы обфускации и стратегии доставки полезной информации. К популярным методам относятся:
-
Дополнительная загрузка DLL: вредоносная библиотека
DLL запускается вместе с легитимными приложениями, используя их доверительный контекст. -
Внедрение вредоносного кода: код внедряется в раздел наложения
законных программ, сохраняя видимость нормальной функциональности при выполнении
вредоносных операций в фоновом режиме.
Анализ образца Lumma показывает, что используется многоступенчатый подход к заражению. Исходная полезная нагрузка маскируется под законный исполняемый файл, который извлекает и запускает архив, содержащий программу установки Nullsoft Scriptable Install System (NSIS). Этот установщик закладывает основу для последующих компонентов вредоносного ПО, включая сценарии автоматической загрузки.
Скрытые угрозы и результаты действий
Сценарии, разработанные для Lumma Stealer, избегают обнаружения системами безопасности, откладывая выполнение при необходимости. После запуска вредоносного ПО устанавливается связь с серверами управления для извлечения украденной информации. Эта информация может включать:
- Учетные данные криптовалюты
- Токены двухфакторной аутентификации
- Сохраненные пароли от различных приложений
Чтобы обойти системы сетевого мониторинга, сообщения вредоносного ПО часто маскируются под законный трафик. Это усугубляет проблему, делая защиту от Lumma Stealer значительно более сложной и требующей комплексного подхода к кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
