Lumma Stealer, также известная как LummaC2, представляет собой сложную вредоносную программу для кражи информации, которая зародилась из более ранних угроз, таких как Pony. Основной целью Lumma является кража учетных данных, сохраненных в веб-браузерах, а также извлечение конфиденциальной информации, включая данные для автоматического заполнения, криптовалютные кошельки и сведения системного уровня.
Методы работы и распространения Lumma Stealer
Украденные данные обычно объединяются в журналы, содержащие ценную информацию, организованную в определенные файловые структуры. Эти журналы могут включать:
- Имена пользователей и пароли;
- Данные, относящиеся к конкретному браузеру;
- Скриншоты зараженного компьютера.
Киберпреступники распространяют Lumma по различным каналам, активно используя тактику социальной инженерии. Один из известных методов называется ClickFix, при котором пользователи обманываются всплывающими окнами, предлагающими выполнить сочетания клавиш, запускающие сценарий PowerShell. Это приводит к загрузке и выполнению полезной нагрузки Lumma.
Стратегия уклонения от обнаружения
Lumma часто распространяется через сервисы с оплатой за установку (PPI) и поставляется в комплекте с взломанными версиями программного обеспечения. Операторы вредоносных программ сосредоточены на поддержании стратегий уклонения от обнаружения, что значительно затрудняет их выявление и устранение антивирусными решениями.
Операционная модель Lumma основывается на концепции «Вредоносное ПО как услуга» (MaaS), с эффективным продвижением на подпольных форумах и акцентом на анонимное общение через Telegram-каналы, что упрощает поддержку клиентов и обновление продуктов. Вредоносная программа регулярно обновляется, поддерживает широкий спектр браузеров и криптовалютных кошельков, а также активно ищет способы избежать обнаружения и удаления.
Рекомендации по защите от Lumma Stealer
Чтобы защититься от Lumma Stealer, организациям следует внедрять многоуровневую стратегию безопасности. Это включает в себя:
- Ограничение доступа к недавно зарегистрированным доменам;
- Использование средств обнаружения и реагирования на конечные точки (EDR);
- Применение списка разрешений для приложений;
- Отключение PowerShell для пользователей, не являющихся администраторами;
- Использование безопасной фильтрации DNS.
Крайне важно также быть осведомленным о тактиках недобросовестной рекламы и схемах фишинга, а также мониторить необычные исходящие соединения и подозрительные действия, которые могут указывать на заражение Lumma.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Угрозы Lumma Stealer: Киберпреступность на новом уровне".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.