Giới thiệu về Lumma Stealer
Các tác nhân xấu đang lợi dụng các thông báo Captcha giả để phát tán phần mềm độc hại Lumma Stealer không tệp, theo nghiên cứu từ công ty an ninh mạng DNSFilter. Phần mềm độc hại này được phát hiện lần đầu trên một trang web ngân hàng ở Hy Lạp, nơi yêu cầu người dùng Windows sao chép và dán một đoạn mã vào hộp thoại Run, sau đó nhấn Enter.
Phương thức hoạt động và tác động
DNSFilter báo cáo rằng trong vòng ba ngày, các khách hàng của công ty đã tương tác với Captcha giả 23 lần, và 17% trong số họ đã hoàn thành các bước trên màn hình, dẫn đến việc phát tán phần mềm độc hại. Mikey Pruitt, Giám đốc Đối tác Toàn cầu của DNSFilter, giải thích rằng Lumma Stealer là một dạng phần mềm độc hại tìm kiếm thông tin đăng nhập và dữ liệu nhạy cảm khác trên thiết bị bị nhiễm.
“Lumma Stealer ngay lập tức quét hệ thống để tìm kiếm bất kỳ thông tin nào có thể kiếm tiền – mật khẩu và cookie lưu trữ trên trình duyệt, mã 2FA đã lưu, dữ liệu ví tiền điện tử, thông tin đăng nhập truy cập từ xa, và thậm chí cả kho mật khẩu,” ông nói với Decrypt.
Pruitt làm rõ rằng các tác nhân xấu sử dụng dữ liệu bị đánh cắp cho nhiều mục đích khác nhau, thường là để thu lợi tài chính, chẳng hạn như đánh cắp danh tính và truy cập vào “các tài khoản trực tuyến để thực hiện trộm cắp tài chính hoặc giao dịch gian lận,” cũng như truy cập vào ví tiền điện tử.
Đặc điểm của Lumma Stealer
Theo Pruitt, Lumma Stealer có phạm vi ảnh hưởng rộng rãi và có thể được tìm thấy trên nhiều trang web khác nhau. “Mặc dù chúng tôi không thể xác định rõ có bao nhiêu tiền đã bị mất qua con đường này, nhưng mối đe dọa này có thể tồn tại trên các trang web không độc hại,” ông giải thích. “Điều này khiến nó trở nên cực kỳ nguy hiểm và quan trọng để nhận thức khi mọi thứ có vẻ đáng ngờ.”
Lumma Stealer không chỉ là phần mềm độc hại, mà còn là một ví dụ về Malware-as-a-Service (MaaS), mà các công ty an ninh đã báo cáo là nguyên nhân dẫn đến sự gia tăng các cuộc tấn công phần mềm độc hại trong những năm gần đây.
“Mục tiêu chính của họ là giữ cho dịch vụ hoạt động và có lợi nhuận, thu phí đăng ký hàng tháng từ các đối tác – thực sự vận hành Lumma Stealer như một doanh nghiệp tội phạm mạng bền vững,” ông nói với Decrypt.
Hệ quả và quy mô tấn công
Bởi vì nó giúp các tội phạm mạng không cần phát triển phần mềm độc hại và bất kỳ cơ sở hạ tầng nào, MaaS như Lumma Stealer đã chứng tỏ là rất phổ biến. Vào tháng 5, Bộ Tư pháp Hoa Kỳ đã tịch thu năm miền internet mà các tác nhân xấu đang sử dụng để vận hành phần mềm độc hại Lumma Stealer, trong khi Microsoft đã riêng tư gỡ bỏ 2.300 miền tương tự.
Tuy nhiên, các báo cáo đã tiết lộ rằng Lumma Stealer đã tái xuất hiện kể từ tháng 5, với một phân tích vào tháng 7 từ Trend Micro cho thấy “số lượng tài khoản bị nhắm mục tiêu đã trở lại mức bình thường” giữa tháng 6 và tháng 7.
Một phần sức hấp dẫn của Lumma Stealer là các gói đăng ký, thường là hàng tháng, có giá rẻ so với lợi nhuận tiềm năng có thể đạt được. “Có sẵn trên các diễn đàn dark web với giá chỉ từ 250 đô la, phần mềm đánh cắp thông tin tinh vi này nhắm mục tiêu vào những gì quan trọng nhất đối với các tội phạm mạng – ví tiền điện tử, thông tin đăng nhập lưu trữ trên trình duyệt và hệ thống xác thực hai yếu tố,” Nathaniel Jones, Phó Chủ tịch Chiến lược An ninh & AI tại Darktrace cho biết.
“Nhưng mối quan tâm thực sự không chỉ là con số – đó là chiến lược kiếm tiền đa lớp,” ông nói. “Lumma không chỉ đánh cắp dữ liệu, nó thu thập một cách có hệ thống lịch sử duyệt web, thông tin hệ thống, và thậm chí cả các tệp cấu hình AnyDesk trước khi xuất khẩu mọi thứ đến các trung tâm chỉ huy do Nga kiểm soát.”
Nguy cơ và nguồn gốc
Tăng cường mối đe dọa của Lumma Stealer là thực tế rằng dữ liệu bị đánh cắp thường được đưa trực tiếp vào “các nhóm traffer,” chuyên về việc đánh cắp và bán lại thông tin đăng nhập. “Điều này tạo ra một hiệu ứng dây chuyền tàn khốc, nơi một lần nhiễm có thể dẫn đến việc chiếm đoạt tài khoản ngân hàng, đánh cắp tiền điện tử, và gian lận danh tính kéo dài lâu sau khi vi phạm ban đầu,” Jones nói thêm.
Trong khi Darktrace gợi ý nguồn gốc hoặc trung tâm của Lumma có thể là từ Nga, DNSFilter lưu ý rằng các tác nhân xấu sử dụng dịch vụ phần mềm độc hại có thể đang hoạt động từ nhiều lãnh thổ khác nhau. “Thật phổ biến khi các hoạt động độc hại như vậy liên quan đến các cá nhân hoặc nhóm từ nhiều quốc gia,” Pruitt nói, thêm rằng điều này đặc biệt phổ biến “với việc sử dụng các nhà cung cấp dịch vụ lưu trữ quốc tế và các nền tảng phân phối phần mềm độc hại.”
