Május 21-én a Microsoft és több nemzetközi bűnüldöző szerv – köztük az FBI, az Europol és Japán kiberbűnözés elleni központja – sikeresen felszámolta a Lumma Stealer nevű kártékony szoftver globális infrastruktúráját. Az akció során több mint 2 300 olyan domént foglaltak le, amelyeket a Lumma parancs- és vezérlőszerverként használt, valamint megszüntették azokat a platformokat is, ahol a rosszindulatú programot terjesztették és értékesítették.

A Lumma Stealer – más néven LummaC vagy LummaC2 – 2022 vége óta aktív, és a becslések szerint több mint 10 millió Windows-alapú számítógépet fertőzött meg világszerte. A szoftver célja érzékeny adatok, például bejelentkezési adatok, böngészési előzmények, automatikus kitöltési információk és kriptovaluta pénztárcák ellopása volt.

A Lumma a Malware-as-a-Service (MaaS, azaz kártevő szolgáltatásként) modellben működött, ahol a felhasználók havi 250 és 1 000 dollár közötti díjért különböző szolgáltatáscsomagokat vásárolhattak. A legdrágább, 20 000 dolláros csomag hozzáférést biztosított a forráskódhoz és a továbbértékesítés jogához is. A fejlesztő, aki az interneten „Shamel” álnéven ismert, Telegramon és más orosz nyelvű fórumokon hirdette a szolgáltatást.

A Lumma terjesztése rendkívül kifinomult módszerekkel történt, beleértve az adathalász e-maileket, hamis CAPTCHA-ellenőrzéseket, fertőzött szoftvertelepítőket és a keresők mérgezését félrevezető weboldalak létrehozásával. A szoftver képes volt elkerülni a biztonsági rendszerek észlelését, például a virtuális környezetek és sandboxok felismerésével, valamint kód obfuszkációval.

Az infrastruktúra felszámolása jelentős csapást mért a Lumma működésére, de a szakértők szerint az információlopó kártevők továbbra is komoly fenyegetést jelentenek. A Lumma példája jól mutatja, hogy a kiberbűnözők milyen gyorsan alkalmazkodnak az új technológiákhoz és módszerekhez, ezért elengedhetetlen a folyamatos éberség és a fejlett biztonsági intézkedések alkalmazása.

Forrás: Wired, The Hacker News