การแพร่กระจายของมัลแวร์ Lumma Stealer
นักแสดงที่ไม่ดีใช้คำถาม Captcha ปลอม เพื่อแจกจ่ายมัลแวร์ Lumma Stealer ที่ไม่มีไฟล์ ตามการวิจัยจากบริษัทความปลอดภัยไซเบอร์ DNSFilter ซึ่งถูกตรวจพบครั้งแรกบนเว็บไซต์ธนาคารกรีก คำถามนี้ขอให้ผู้ใช้ Windows คัดลอกและวางลงในกล่องโต้ตอบ Run และจากนั้นกด Enter. DNSFilter รายงานว่าลูกค้าของบริษัทมีปฏิสัมพันธ์กับ Captcha ปลอม 23 ครั้งในช่วงสามวัน และ 17% ของผู้ที่พบคำถามนี้ทำตามขั้นตอนบนหน้าจอ ส่งผลให้มีการพยายามส่งมัลแวร์.
ข้อมูลเกี่ยวกับ Lumma Stealer
Mikey Pruitt ผู้เผยแพร่พันธมิตรระดับโลกของ DNSFilter อธิบายว่า Lumma Stealer เป็นรูปแบบของมัลแวร์ที่ค้นหาอุปกรณ์ที่ติดเชื้อเพื่อหาข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อนอื่น ๆ “Lumma Stealer จะค้นหาข้อมูลในระบบทันทีเพื่อหาสิ่งที่สามารถสร้างรายได้ เช่น รหัสผ่านและคุกกี้ที่เก็บไว้ในเบราว์เซอร์ โทเค็น 2FA ที่บันทึกไว้ ข้อมูลกระเป๋าเงินคริปโตเคอเรนซี ข้อมูลการเข้าถึงระยะไกล และแม้กระทั่งห้องนิรภัยของผู้จัดการรหัสผ่าน” เขากล่าวกับ Decrypt.
Pruitt ชี้แจงว่านักแสดงที่ไม่ดีใช้ข้อมูลที่ถูกขโมยไปเพื่อวัตถุประสงค์ที่หลากหลายซึ่งมักจะมุ่งไปที่การสร้างรายได้ เช่น การขโมยข้อมูลประจำตัวและการเข้าถึง “บัญชีออนไลน์เพื่อการขโมยทางการเงินหรือธุรกรรมที่ฉ้อโกง” รวมถึงการเข้าถึงกระเป๋าเงินคริปโตเคอเรนซี.
ความเสี่ยงและการตอบสนอง
Lumma Stealer มีการเข้าถึงที่กว้างขวาง ตามที่ Pruitt กล่าว และสามารถพบได้บนเว็บไซต์ที่หลากหลาย “แม้ว่าเราจะไม่สามารถพูดได้ว่ามีการสูญเสียมากเพียงใดจากช่องทางนี้ แต่ภัยคุกคามนี้สามารถมีอยู่บนเว็บไซต์ที่ไม่เป็นอันตราย” เขาอธิบาย “นี่ทำให้มันอันตรายอย่างยิ่งและสำคัญที่จะต้องตระหนักเมื่อสิ่งต่าง ๆ ดูน่าสงสัย“.
Lumma Stealer ไม่เพียงแต่เป็นมัลแวร์ แต่ยังเป็นตัวอย่างของ Malware-as-a-Service (MaaS) ซึ่งบริษัทความปลอดภัยได้รายงานว่ามีส่วนรับผิดชอบในการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ในช่วงไม่กี่ปีที่ผ่านมา.
การพัฒนาและการตอบสนองของหน่วยงาน
ตามที่ Jakub Tomanek นักวิเคราะห์มัลแวร์ของ ESET กล่าว ผู้ดำเนินการเบื้องหลัง Lumma Stealer พัฒนาฟีเจอร์ของมัน ปรับปรุงความสามารถในการหลบเลี่ยงการตรวจจับมัลแวร์ ขณะเดียวกันก็ลงทะเบียนโดเมนเพื่อโฮสต์มัลแวร์ เขากล่าวกับ Decrypt ว่า “เป้าหมายหลักของพวกเขาคือการทำให้บริการดำเนินการได้และทำกำไร เก็บค่าธรรมเนียมการสมัครสมาชิกรายเดือนจากพันธมิตร – ทำให้ Lumma Stealer ทำงานเป็นธุรกิจไซเบอร์อาชญากรรมที่ยั่งยืน“.
ในเดือนพฤษภาคม กระทรวงยุติธรรมสหรัฐฯ ได้ยึดโดเมนอินเทอร์เน็ตห้าโดเมนที่นักแสดงที่ไม่ดีใช้ในการดำเนินการมัลแวร์ Lumma Stealer ขณะที่ Microsoft ได้ลบโดเมนที่คล้ายกัน 2,300 โดเมนอย่างเงียบ ๆ อย่างไรก็ตาม รายงานได้เปิดเผยว่า Lumma Stealer ได้กลับมาอีกครั้งตั้งแต่เดือนพฤษภาคม.
ผลกระทบและการโจมตีในอนาคต
ส่วนหนึ่งของความน่าสนใจของ Lumma Stealer คือการสมัครสมาชิกซึ่งมักจะเป็นรายเดือนมีราคาถูกเมื่อเปรียบเทียบกับผลกำไรที่อาจเกิดขึ้น “มีจำหน่ายในฟอรัมเว็บมืดในราคาเพียง 250 ดอลลาร์. มัลแวร์ที่ซับซ้อนนี้มุ่งเป้าไปที่สิ่งที่สำคัญที่สุดสำหรับไซเบอร์อาชญากร – กระเป๋าเงินคริปโตเคอเรนซี ข้อมูลประจำตัวที่เก็บไว้ในเบราว์เซอร์ และระบบการยืนยันตัวตนแบบสองปัจจัย” Nathaniel Jones รองประธานฝ่ายความปลอดภัยและกลยุทธ์ AI ที่ Darktrace กล่าว.
Jones กล่าวกับ Decrypt ว่าขนาดของการโจมตีของ Lumma Stealer นั้น “น่าตกใจ” โดยในปี 2023 มีการสูญเสียประมาณ 36.5 ล้านดอลลาร์ และมีอุปกรณ์ Windows 400,000 เครื่องติดเชื้อในช่วงเวลาเพียงสองเดือน.
การเพิ่มความเสี่ยงของ Lumma Stealer คือความจริงที่ว่าข้อมูลที่ถูกขโมยมักจะถูกส่งตรงไปยัง “ทีม traffer” ซึ่งเชี่ยวชาญในการขโมยและขายข้อมูลประจำตัว “นี่สร้างผลกระทบที่รุนแรงซึ่งการติดเชื้อเพียงครั้งเดียวสามารถนำไปสู่การโจรกรรมบัญชีธนาคาร การขโมยคริปโตเคอเรนซี และการฉ้อโกงข้อมูลประจำตัวที่ยังคงอยู่หลังจากการละเมิดครั้งแรก” Jones กล่าวเสริม.
ขณะที่ Darktrace แนะนำว่ามีต้นกำเนิดหรือศูนย์กลางของ Lumma ที่เกี่ยวข้องกับรัสเซีย DNSFilter ชี้ให้เห็นว่านักแสดงที่ไม่ดีที่ใช้บริการมัลแวร์อาจดำเนินการจากหลายประเทศ “เป็นเรื่องปกติที่กิจกรรมที่เป็นอันตรายเช่นนี้จะเกี่ยวข้องกับบุคคลหรือกลุ่มจากหลายประเทศ” Pruitt กล่าวเสริมว่าเรื่องนี้เกิดขึ้นบ่อย “โดยเฉพาะอย่างยิ่งกับการใช้ผู้ให้บริการโฮสติ้งระหว่างประเทศและแพลตฟอร์มการแจกจ่ายมัลแวร์“.
