悪意のある行為者によるLumma Stealerの配布
サイバーセキュリティ企業DNSFilterの調査によると、悪意のある行為者が偽のキャプチャプロンプトを使用して、ファイルレスのLumma Stealerマルウェアを配布しています。このプロンプトは最初にギリシャの銀行ウェブサイトで検出され、Windowsユーザーに対してそれをコピーして実行ダイアログボックスに貼り付け、Enterキーを押すように要求します。
DNSFilterは、同社のクライアントが3日間で偽のキャプチャと23回相互作用し、プロンプトに遭遇した人の17%が画面上の手順を完了し、マルウェアの配信が試みられたと報告しています。
Lumma Stealerの機能と影響
DNSFilterのグローバルパートナーエバンジェリストであるMikey Pruittは、Lumma Stealerが感染したデバイス内の資格情報やその他の機密データを検索するマルウェアの一種であると説明しました。「Lumma Stealerは、システム内の収益化できるものを即座にスキャンします。ブラウザに保存されたパスワードやクッキー、保存された2FAトークン、暗号通貨ウォレットデータ、リモートアクセス資格情報、さらにはパスワードマネージャーのボールトまで」と彼はDecryptに語りました。
Pruittは、悪意のある行為者が盗まれたデータをさまざまな目的で使用し、通常は金銭的利益に結びつくことを明らかにしました。例えば、ID盗難や「金融盗難や詐欺的取引のためのオンラインアカウントへのアクセス」、さらには暗号通貨ウォレットへのアクセスなどです。
「この一つの手段でどれだけの損失があったかは言えませんが、この脅威は悪意のないサイトにも存在する可能性があります」と彼は説明しました。「これにより、非常に危険であり、物事が疑わしいと感じたときには注意が必要です。」
MaaSとしてのLumma Stealer
Lumma Stealerは単なるマルウェアではなく、マルウェア・アズ・ア・サービス(MaaS)の一例であり、セキュリティ企業は近年のマルウェア攻撃の増加に責任があると報告しています。ESETのマルウェアアナリストJakub Tomanekによれば、Lumma Stealerの背後にいるオペレーターはその機能を開発し、マルウェア検出を回避する能力を洗練させ、マルウェアをホストするためのドメインを登録しています。
「彼らの主な目標は、サービスを運営可能かつ収益性のあるものに保ち、アフィリエイトから月額料金を集めることです。実質的にLumma Stealerを持続可能なサイバー犯罪ビジネスとして運営しています。」
再出現と影響
5月、米国司法省はLumma Stealerマルウェアを運営するために悪意のある行為者が使用していた5つのインターネットドメインを押収し、Microsoftはプライベートで2,300の類似ドメインを削除しました。しかし、報告によれば、Lumma Stealerは5月以降再出現しており、Trend Microの7月の分析では「ターゲットアカウントの数が6月から7月にかけて徐々に通常のレベルに戻った」と示されています。
Lumma Stealerの魅力の一部は、サブスクリプションが通常月額であり、得られる潜在的な利益に対して安価であることです。「ダークウェブフォーラムでは250ドルから入手可能で、この高度な情報盗難者はサイバー犯罪者にとって最も重要なもの、つまり暗号通貨ウォレット、ブラウザに保存された資格情報、二要素認証システムを特にターゲットにしています」とNathaniel Jonesは述べました。
「Lumma Stealerの悪用の規模は驚くべきものであり、2023年には推定3650万ドルの損失が発生し、2ヶ月間で40万台のWindowsデバイスが感染した」と彼は語りました。
「しかし、実際の懸念は数字だけではありません。それは多層的な収益化戦略です」と彼は言いました。「Lummaは単にデータを盗むのではなく、ブラウザの履歴、システム情報、さらにはAnyDeskの設定ファイルを体系的に収集し、すべてをロシアが管理する指令センターに流出させます。」
国際的な影響と注意点
Lumma Stealerの脅威を高めるのは、盗まれたデータがしばしば「トラッファーチーム」に直接供給され、資格情報の盗難と再販を専門とすることです。「これにより、単一の感染が銀行口座のハイジャック、暗号通貨の盗難、そして初期の侵害後も続く身元詐欺につながる壊滅的なカスケード効果が生まれます」とJonesは付け加えました。
DarktraceはLumma関連の悪用のロシア起源または中心を示唆していますが、DNSFilterはマルウェアサービスを利用している悪意のある行為者が複数の地域から運営されている可能性があると指摘しています。「このような悪意のある活動には、複数の国からの個人やグループが関与することが一般的です」とPruittは述べ、特に「国際的なホスティングプロバイダーやマルウェア配布プラットフォームの使用が普及している」と付け加えました。
