A kiberbűnözők egyre gyakrabban használják ki azokat az online felületeket, amelyekben a felhasználók ösztönösen megbíznak. A G DATA víruslaboratóriumának friss elemzése szerint a Lumma Stealer nevű adatlopó kártevő terjesztéséhez most olyan népszerű platformokat használnak fel, mint az itch.io és a Patreon. Ezeket az oldalakat sokan kreatív, játékos vagy támogató közösségi térként ismerik – éppen ezért különösen veszélyes, amikor kártevők jelennek meg rajtuk.

A Lumma Stealer egy klasszikus információlopó malware, amelynek célja a felhasználók érzékeny adatainak megszerzése. Képes ellopni a böngészőkben tárolt jelszavakat, sütiket, hitelesítési tokeneket, kriptotárcák adatait, sőt akár üzenetküldő alkalmazásokhoz tartozó belépési információkat is. Ezek az adatok később fiókátvételekhez, pénzügyi visszaélésekhez vagy további támadásokhoz használhatók fel.

A G DATA elemzése szerint a támadók elsősorban játékokhoz kapcsolódó tartalmakkal csábítják a felhasználókat. Az itch.io felületén például játékbővítmények (modok), javítások vagy frissített verziók letöltését ígérik, míg a Patreonon exkluzív támogatói tartalomként jelennek meg a fertőzött fájlok. A letöltések gyakran ZIP- vagy RAR-archívumok, amelyekben látszólag ártalmatlan futtatható állomány található.

A felhasználó azt hiszi, egy játékhoz készült kiegészítőt indít el – valójában azonban a Lumma Stealer kerül a rendszerére.

Fontos hangsúlyozni, hogy a kampány nem egyetlen konkrét játékot vett célba. A hamis játékbővítmények (modok) több, egymástól független játék oldalán is megjelentek, jellemzően kommentekbe ágyazott „frissítési” linkek formájában. A támadók így a közösségi bizalmat használták ki: a felhasználók azt feltételezik általában, hogy a link egy fejlesztőtől vagy más játékostól származik.

A fertőzés különösen veszélyes, mert nem igényli technikai sérülékenységek kihasználását. A támadás kulcsa a megtévesztés: a fájl hitelesnek tűnik, a platform megbízható, az ígért játékbővítmény (mod) pedig pontosan azt kínálja, amit a felhasználó keres. Ez a fajta social engineering sok esetben hatékonyabb, mint bármilyen technikai támadás.

Miután a Lumma Stealer települ, csendben működik a háttérben. Összegyűjti az adatokat, majd titkosított kapcsolaton keresztül továbbítja azokat a támadók szervereire. A felhasználó gyakran csak akkor észleli a problémát, amikor már feltörték valamelyik fiókját, vagy gyanús bejelentkezési értesítéseket kap. Ha a felhasználói rendelkezik frissített vírusirtó szoftverrel, az általában megfogja a kártevőt – kivéve olyankor, ha a felhasználó szándékosan kikapcsolja a vírusvédelmet, hogy a vágyott játékbővítményt futtatni tudja. Ez a bűnözők megtévesztő kampányának része: leírják, hogy a vírusvédelem téves riasztást adhat, és javasolják a felhasználók számára a kikapcsolását.

Az eset ismét rávilágít arra, hogy a digitális biztonság nem csak vállalati kérdés. Egy otthoni számítógép, egy játékos profil vagy egy kreatív platformon használt fiók is értékes célpont lehet. A védekezés alapja a tudatosság: csak ellenőrzött forrásból töltsünk le fájlokat, legyünk különösen óvatosak az „exkluzív” játékbővítményekkel (modokkal), és használjunk naprakész, viselkedésalapú védelmet nyújtó biztonsági megoldásokat. És persze inkább a biztonsági szoftverünk gyártójában bízzunk, mint egy ismeretlen internetes kommentelőben.

A Lumma Stealer kampánya jól mutatja, hogy a kiberbűnözők mindig oda mennek, ahol a felhasználók vannak – és ahol a legkevésbé számítanak támadásra. A játékos közösségek ma már ugyanúgy célpontok, mint bármely más online felület.