Компания ESET совместно с корпорацией Майкрософт и партнерами из сферы кибербезопасности провела масштабную операцию, направленную на мониторинг и уничтожение инфраструктуры вредоносного ПО Lumma Stealer. Эта кампания обозначила значимый этап в борьбе с поставщиками вредоносных программ как услуги (MaaS) и подчеркнула важность скоординированных усилий на международном уровне.
Что такое Lumma Stealer и почему он опасен?
Lumma Stealer — это вредоносное ПО, активно разрабатываемое и поддерживаемое на протяжении последних двух лет его операторами. Эта программа специализируется на краже конфиденциальной информации, включая данные веб-браузеров, пароли, сессионные файлы cookie, а также сведения из приложений удаленного доступа и криптовалютных кошельков.
Ключевые особенности Lumma Stealer:
- Регулярные обновления, включающие как мелкие исправления, так и значимые улучшения в методах шифрования и сетевых протоколах;
- Использование уникального функции жёстко запрограммированного идентификатора аффилированного лица для индивидуальной фильтрации данных;
- Динамический поиск конфигураций, который адаптирует механизм сбора информации под целевую систему;
- Переход от базовых методов защиты (кодирование XOR, base64) к более сложным — шифрованию ChaCha20;
- Передовые техники обфускации: сглаживание потока управления, зашифрованные строки и уникальные тактики импортов, значительно усложняющие анализ и реверс-инжиниринг.
Технические детали и ход операции
В рамках операции был проведен масштабный анализ более 3000 уникальных командно-контрольных (C&C) доменов Lumma Stealer. Ключ к успеху предоставила:
- Автоматизация извлечения данных из образцов вредоносного ПО;
- Выявление доменов серверов управления и контроля;
- Определение связанных с образцами аффилированных лиц и их индивидуальных конфигураций.
Особое внимание уделялось новым функциям, например, _жёстко запрограммированному аффилированному идентификатору_, который позволил точечно фильтровать и разделять получаемую информацию.
Угроза и её влияние на кибербезопасность
Lumma Stealer является примером быстрорастущей и адаптивной киберугрозы, которая потребляет масштабные объемы учетных данных. Полученная информация затем продается на подпольных рынках, способствуя широкомасштабной криминальной активности. Несмотря на успешное разрушение инфраструктуры, эксперты ESET предупреждают о сохраняющейся угрозе и намерены продолжать мониторинг этого вредоносного ПО.
«Совместная глобальная операция показала, насколько сложно искоренить современные киберпреступные сервисы. Злоумышленники постоянно адаптируют свои методы, требуя от специалистов максимальной оперативности и координации», — отмечают эксперты.
Заключение
Итоги операции по уничтожению инфраструктуры Lumma Stealer демонстрируют, что борьба с киберпреступностью невозможна без масштабного международного сотрудничества и внедрения новейших технических решений.
Однако, учитывая сложность и динамичный характер подобных угроз, специалисты в области кибербезопасности продолжают оставаться на стороже, совершенствуя методы обнаружения и противодействия новым модификациям вредоносного ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уничтожение инфраструктуры Lumma Stealer: итоги глобальной операции".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.