Zaplenjena infrastruktura omiljenog malvera sajber kriminalaca Lumma Stealer

Sajber hronika, 23.05.2025, 11:30 AM

Microsoft je objavio da je predvodio globalnu akciju organa za sprovođenje zakona i kompanija za sajber bezbednost tokom koje je izvedeno uklanjanje infrastrukture malvera Lumma - moćnog alata za neselektivnu krađu informacija koji sajber kriminalci koriste za napade na desetine industrija.

Stiven Masada, pomoćnik glavnog savetnika u Microsoft-ovoj jedinici za digitalni kriminal, podsetio je da omiljeni malver sajber kriminalaca, koji se ponekad naziva LummaC2, „krade lozinke, kreditne kartice, bankovne račune i kriptovalute i omogućava kriminalcima da drže škole kao taoce tražeći otkup, prazne bankovne račune i ometaju važne usluge“.

Zvaničnici FBI-ja su rekli da istražuju malver Lumma od septembra 2023. godine i da su od tada otkrili oko 10 miliona infekcija. FBI je pratio hiljade korisnika malvera koji plaćaju mesečne pretplate od 250, 500 i 1.000 dolara.

„Pristup malveru Lumma preko korisničkog panela neverovatno olakšava onima sa vrlo malo tehničkog znanja da postanu igrači u igri malvera“, rekao je Bret Lederman iz FBI-ja. Procena FBI-ja je da su u 2023. godini gubici samo od krađa kreditnih kartica, koje je omogućio malver, oko 36,5 miliona dolara.

Microsoft je rekao da je između marta i maja ove godine identifikovao više od 394.000 Windows računara zaraženih malverom Lumma. Kompanija je sarađivala sa Europolom, SAD i Japanom da bi poremetila tehničku infrastrukturu Lumma-e i prekinula komunikaciju između malvera i žrtava.

Sudski nalog je omogućio Microsoftu da ukloni i blokira oko 2.300 domena koji su činili okosnicu infrastrukture Lumma-e. Masada je rekao da im je operacija omogućila da prekinu komunikaciju između zaraženih uređaja i infrastrukture malvera.

Zaplenjene veb sajtove su administratori koristili za distribuciju Lumma-e svojim saradnicima i drugim sajber kriminalcima. Malver je korišćen za krađu informacija o pregledaču, podataka za prijavu na imejl naloge i servise banaka, informacija o kriptovalutama i još mnogo toga. FBI je identifikovao najmanje 1,7 miliona slučajeva u kojima je Lumma korišćena za krađu ove vrste informacija.

Lederman je rekao da je Stejt department pomogao u operaciji kroz svoj program nagrađivanja sa 10 miliona dolara za informacije o stranim zlonamernim sajber aktivnostima. On nije precizirao kakve informacije su stigle tim kanalom niti kako je nagrada isplaćena.

Lumma se smatra jednim od najrasprostranjenijih infostealera na svetu. Malver omogućava sajber kriminalcima da ukradu velike količine osetljivih podataka sa zaraženih uređaja. Lumma se prodaje na hakerskim forumima od 2022. godine, a razvio ga je ruski sajber kriminalac poznat kao „Shamel“.

Lumma se na Telegramu reklamira kao usluga sa različitim nivoima, nudeći sajber kriminalcima mogućnost da ga prilagode svojim potrebama. Masada je rekao da je Lumma „lak za distribuciju, težak za otkrivanje i može se programirati da zaobiđe određene bezbednosne odbrane“.

U većini slučajeva, malver se širi putem fišing imejlova ili oglasa, obično se se krijući iza poznatih brendova poput Microsoft-a. Microsoft je u martu ove godine otkrio kampanju u kojoj su se napadači koji koriste malver predstavljali kao Booking.com.

Microsoft je pronašao dokaze o njegovoj upotrebi u kampanjama usmerenim na gejmersku zajednicu, obrazovne sisteme, telekomunikacije, finansije, zdravstvo i proizvodnju. Masada je napomenuo da je tvorac malvera Shamel javno govorio o svojim naporima da promoviše malver, i da je ranije izjavio da ima oko 400 aktivnih klijenata.

FBI je objavio tehničko upozorenje u kojem se detaljno opisuje kako zaražene žrtve mogu da saniraju svoje sisteme. Kompanije za sajber bezbednost koje su učestvovale u operaciji, uključujući Cloudflare, Bitsight i ESET, objavile su tehničke analize malvera i njegove infrastrukture.

Lederman je priznao da je verovatno da će kriminalci koji stoje iza Lumma-e reorganizovati svoju operaciju, ali je rekao da je deo cilja FBI-ja da naruši poverenje u njih.

Foto: ELLA DON | Unsplash