11,6 тыс подписчиков

Рост угрозы Lumma Stealer: киберпреступность становится доступнее

12 мая 202512 мая 2025

2 мин

Lumma Stealer — это быстро развивающаяся вредоносная программа для кражи информации, которая получила значительное распространение в сфере киберпреступности в 2024-2025 годах. С момента своего появления в августе 2022 года хакер, известный как «Shamel» или «Lumma», продает вредоносное ПО как услугу (MaaS), применяя сложную тактику для распределения своей полезной нагрузки. Модель монетизации вредоносного ПО позволяет даже менее квалифицированным злоумышленникам получить к нему доступ, что привело к заметному увеличению числа заражений на 369% с начала по конец 2024 года. Lumma Stealer использует различные методы обхода защиты, включая: Вредоносная программа широко использует тактику «Жизни за пределами земли» (LOL), применяя легальные системные инструменты, такие как PowerShell, mshta и стороннюю загрузку библиотек DLL, чтобы избежать обнаружения при выполнении своих вредоносных программ. Угроза в первую очередь связана с финансовыми причинами и направлена на сбор конфиденциальных данн

Оглавление

Рост распространенности и доступность Lumma Stealer
Тактики и методы Lumma Stealer
Цели и способы атаки

Рост распространенности и доступность Lumma Stealer

Модель монетизации вредоносного ПО позволяет даже менее квалифицированным злоумышленникам получить к нему доступ, что привело к заметному увеличению числа заражений на 369% с начала по конец 2024 года.

Тактики и методы Lumma Stealer

Lumma Stealer использует различные методы обхода защиты, включая:

Обнаружение виртуальных машин;
Шифрование полезной нагрузки;
Использование многоязычных файлов для маскировки своего вредоносного содержимого.

Вредоносная программа широко использует тактику «Жизни за пределами земли» (LOL), применяя легальные системные инструменты, такие как PowerShell, mshta и стороннюю загрузку библиотек DLL, чтобы избежать обнаружения при выполнении своих вредоносных программ.

Цели и способы атаки

Угроза в первую очередь связана с финансовыми причинами и направлена на сбор конфиденциальных данных, таких как:

учетные данные;
финансовая информация;
реквизиты криптовалютного кошелька.

Первоначальный доступ часто достигается с помощью тактики социальной инженерии, когда злоумышленники выдают себя за доверенные организации, такие как GitHub. Кампании включают размещение поддельных уведомлений или комментариев, чтобы побудить разработчиков загружать зараженные файлы, замаскированные под исправления уязвимостей.

Методы извлечения информации

Lumma Stealer нацелен на веб-браузеры для извлечения:

сохраненных паролей;
сессионных файлов cookie;
данных автозаполнения.

Также она запрограммирована на поиск файлов криптовалютного кошелька и может выполнять кейлоггинг или очистку буфера обмена для получения учетных данных, введенных пользователями. Собранные данные, как правило, передаются на командные серверы злоумышленников по зашифрованным каналам.

Технические особенности и механизмы сохранения

Механизмы обхода защиты Lumma Stealer являются надежными:

Кодировка Base64 и XOR-шифрование используются для сокрытия полезных данных;
Надежные двоичные файлы применяются для выполнения вредоносных сценариев;
Методы внедрения процессов, такие как удаление процессов, скрадывают действия от программного обеспечения безопасности.

Примечательно, что вредоносная программа может создавать механизмы сохранения, размещая ярлыки в папке запуска Windows или настраивая запланированные задачи для обеспечения своей дальнейшей работы в зараженной системе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост угрозы Lumma Stealer: киберпреступность становится доступнее".