Уничтожение инфраструктуры Lumma Stealer: итоги глобальной операции

Компания ESET совместно с корпорацией Майкрософт и партнерами из сферы кибербезопасности провела масштабную операцию, направленную на мониторинг и уничтожение инфраструктуры вредоносного ПО Lumma Stealer. Эта кампания обозначила значимый этап в борьбе с поставщиками вредоносных программ как услуги (MaaS) и подчеркнула важность скоординированных усилий на международном уровне.

Что такое Lumma Stealer и почему он опасен?

Lumma Stealer — это вредоносное ПО, активно разрабатываемое и поддерживаемое на протяжении последних двух лет его операторами. Эта программа специализируется на краже конфиденциальной информации, включая данные веб-браузеров, пароли, сессионные файлы cookie, а также сведения из приложений удаленного доступа и криптовалютных кошельков.

Ключевые особенности Lumma Stealer:

• Регулярные обновления, включающие как мелкие исправления, так и значимые улучшения в методах шифрования и сетевых протоколах;
• Использование уникального функции жёстко запрограммированного идентификатора аффилированного лица для индивидуальной фильтрации данных;
• Динамический поиск конфигураций, который адаптирует механизм сбора информации под целевую систему;
• Переход от базовых методов защиты (кодирование XOR, base64) к более сложным — шифрованию ChaCha20;
• Передовые техники обфускации: сглаживание потока управления, зашифрованные строки и уникальные тактики импортов, значительно усложняющие анализ и реверс-инжиниринг.

Технические детали и ход операции

В рамках операции был проведен масштабный анализ более 3000 уникальных командно-контрольных (C&C) доменов Lumma Stealer. Ключ к успеху предоставила:

• Автоматизация извлечения данных из образцов вредоносного ПО;
• Выявление доменов серверов управления и контроля;
• Определение связанных с образцами аффилированных лиц и их индивидуальных конфигураций.

Особое внимание уделялось новым функциям, например, _жёстко запрограммированному аффилированному идентификатору_, который позволил точечно фильтровать и разделять получаемую информацию.

Угроза и её влияние на кибербезопасность

Lumma Stealer является примером быстрорастущей и адаптивной киберугрозы, которая потребляет масштабные объемы учетных данных. Полученная информация затем продается на подпольных рынках, способствуя широкомасштабной криминальной активности. Несмотря на успешное разрушение инфраструктуры, эксперты ESET предупреждают о сохраняющейся угрозе и намерены продолжать мониторинг этого вредоносного ПО.

«Совместная глобальная операция показала, насколько сложно искоренить современные киберпреступные сервисы. Злоумышленники постоянно адаптируют свои методы, требуя от специалистов максимальной оперативности и координации», — отмечают эксперты.

Заключение

Итоги операции по уничтожению инфраструктуры Lumma Stealer демонстрируют, что борьба с киберпреступностью невозможна без масштабного международного сотрудничества и внедрения новейших технических решений.

Однако, учитывая сложность и динамичный характер подобных угроз, специалисты в области кибербезопасности продолжают оставаться на стороже, совершенствуя методы обнаружения и противодействия новым модификациям вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.