Pagpapakilala sa Lumma Stealer
Ayon sa pananaliksik mula sa cybersecurity firm na DNSFilter, ang mga masamang aktor ay gumagamit ng pekeng Captcha prompts upang ipamahagi ang fileless na Lumma Stealer malware. Una itong natuklasan sa isang website ng bangko sa Greece, kung saan hinihiling ng prompt na kopyahin at i-paste ito ng mga Windows user sa Run dialog box, at pagkatapos ay pindutin ang Enter.
Mga Detalye ng Malware
Iniulat ng DNSFilter na nakipag-ugnayan ang mga kliyente ng firm sa pekeng Captcha ng 23 beses sa loob ng tatlong araw, at 17% ng mga taong nakatagpo sa prompt ay nakumpleto ang mga hakbang sa screen, na nagresulta sa sinubukang paghahatid ng malware. Ipinaliwanag ni Mikey Pruitt, Global Partner Evangelist ng DNSFilter, na ang Lumma Stealer ay isang uri ng malware na naghahanap sa isang nahawaang device para sa mga kredensyal at iba pang sensitibong data.
“Agad na sinisiyasat ng Lumma Stealer ang sistema para sa anumang bagay na maaari nitong pagkakitaan—mga password at cookies na nakaimbak sa browser, mga nakasave na 2FA tokens, data ng cryptocurrency wallet, mga kredensyal para sa remote-access, at kahit mga vault ng password manager,”
sinabi niya sa Decrypt.
Mga Layunin ng Malware
Nilinaw ni Pruitt na ginagamit ng mga masamang aktor ang nakuhang data para sa iba’t ibang layunin na kadalasang nauuwi sa kita, tulad ng pagnanakaw ng pagkakakilanlan at pag-access sa “mga online account para sa pinansyal na pagnanakaw o mapanlinlang na transaksyon,” pati na rin ang pagkuha ng access sa mga cryptocurrency wallet.
Ayon kay Pruitt, ang Lumma Stealer ay may malawak na abot at maaaring matagpuan sa iba’t ibang uri ng mga website. “Habang hindi kami makapagsalita kung gaano karaming maaaring nawala sa pamamagitan ng isang daang ito, ang banta na ito ay maaaring umiral sa mga hindi mapanganib na site,” ipinaliwanag niya. “Ginagawa nitong labis na mapanganib at mahalagang maging maingat kapag may mga bagay na tila kahina-hinala.”
Malware-as-a-Service (MaaS)
Ang Lumma Stealer ay hindi lamang malware, kundi isang halimbawa ng Malware-as-a-Service (MaaS), na iniulat ng mga security firm na responsable sa pagtaas ng mga atake ng malware sa mga nakaraang taon. Ayon sa malware analyst ng ESET na si Jakub Tomanek, ang mga operator sa likod ng Lumma Stealer ay bumubuo ng mga tampok nito, pinapahusay ang kakayahan nitong umiwas sa pagtuklas ng malware, habang nagrerehistro rin ng mga domain upang i-host ang malware.
“Ang pangunahing layunin nila ay panatilihing operational at kumikita ang serbisyo, na kumokolekta ng buwanang bayad sa subscription mula sa mga affiliate—epektibong pinapatakbo ang Lumma Stealer bilang isang napapanatiling negosyo ng cybercriminal,”
sinabi niya sa Decrypt.
Mga Hakbang ng U.S. Department of Justice
Noong Mayo, ang U.S. Department of Justice ay nagsagawa ng pagsamsam sa limang internet domains na ginagamit ng mga masamang aktor upang patakbuhin ang Lumma Stealer malware, habang pribadong inalis ng Microsoft ang 2,300 katulad na domains. Gayunpaman, iniulat na muling lumitaw ang Lumma Stealer mula noong Mayo, na may pagsusuri noong Hulyo mula sa Trend Micro na nagpapakita na “ang bilang ng mga target na account ay unti-unting bumalik sa kanilang karaniwang antas” sa pagitan ng Hunyo at Hulyo.
Mga Pagsasamantala at Epekto
Bahagi ng apela ng Lumma Stealer ay ang mga subscription, na kadalasang buwanan, ay mura kumpara sa potensyal na kita na maaaring makuha. “Available sa mga dark web forums para sa kasing halaga ng $250, ang sopistikadong information stealer na ito ay partikular na nagta-target sa mga bagay na pinakamahalaga sa mga cybercriminal – mga cryptocurrency wallet, mga kredensyal na nakaimbak sa browser, at mga sistema ng two-factor authentication,” sinabi ni Nathaniel Jones, ang VP ng Security & AI Strategy sa Darktrace.
“Ngunit ang tunay na alalahanin ay hindi lamang ang mga numero – ito ay ang multi-layered monetisation strategy,”
sinabi niya.
“Hindi lamang ninanakaw ng Lumma ang data, sistematikong kinokolekta nito ang mga browser histories, impormasyon ng sistema, at kahit mga configuration files ng AnyDesk bago ilabas ang lahat sa mga command centers na kontrolado ng Russia.”
Paglalarawan ng Banta
Pinalalala ng banta ng Lumma Stealer ang katotohanan na ang mga nakuhang data ay kadalasang direktang ipinapasok sa “traffer teams,” na nag-specialize sa pagnanakaw at muling pagbebenta ng mga kredensyal. “Ito ay lumilikha ng isang nakasisirang cascade effect kung saan ang isang solong impeksyon ay maaaring humantong sa pag-hijack ng bank account, pagnanakaw ng cryptocurrency, at pandaraya sa pagkakakilanlan na nagpapatuloy kahit matapos ang paunang paglabag,” dagdag ni Jones.
Habang iminungkahi ng Darktrace ang isang pinagmulan o sentro ng Russia para sa mga pagsasamantalang may kaugnayan sa Lumma, itinuro ng DNSFilter na ang mga masamang aktor na gumagamit ng serbisyo ng malware ay maaaring nag-ooperate mula sa iba’t ibang teritoryo. “Karaniwan para sa mga ganitong mapanlinlang na aktibidad na kasangkot ang mga indibidwal o grupo mula sa iba’t ibang bansa,” sinabi ni Pruitt, na idinagdag na ito ay lalo pang laganap “sa paggamit ng mga international hosting providers at mga platform ng pamamahagi ng malware.”
