Прощавай, товаришу: Інфостілери – це небезпечний клас шкідливого програмного забезпечення, створений для проникнення в системи та витягування чутливої особистої або корпоративної інформації. Lumma Stealer займає одне з провідних місць серед найбільш небезпечних зловмисників, що призвело до глобальних дій з боку Microsoft і правоохоронних органів для пошуку і знищення його розробників.

Компанія Microsoft заявляє, що її підрозділ Digital Crimes Unit (DCU) успішно припинив діяльність серверної інфраструктури, яка підтримувала Lumma Stealer, шкідливу програму як послугу (MaaS), що заражала сотні тисяч комп’ютерів на базі Windows. Кіберзлочинці по всьому світу використовували LummaC2 для викрадення паролів, кредитних карток, виснаження криптовалютних гаманців, порушення критичних служб і багатьох інших злочинних дій.

DCU співпрацював з федеральним судом в штаті Джорджія, Міністерством юстиції США, Europol та Центром боротьби з кіберзлочинністю Японії для знищення інфраструктури Lumma. Microsoft заблокував близько 2 300 шкідливих доменів, які служили основою цієї операції.

Масштаби зараження та наслідки

Microsoft виявив більше 394 000 заражених Windows-систем між 16 березня та 16 травня. Захоплені домени зараз перенаправляються на сервери, контрольовані Microsoft, що забезпечує додатковий захист користувачам та дає аналітикам нові можливості для вивчення шкідливої операції. Завдяки цьому інфраструктура Lumma була остаточно знищена.

Ця шкідлива мережа орендувала Lumma на підпільних ринках з 2022 року. Програма постійно вдосконалювалась, додаючи нові функції для своїх злочинних користувачів. Microsoft стверджує, що LummaC2 здатна викачувати облікові дані та куки з браузерів, шукати локально збережені криптовалютні гаманці та розширення, а також атакувати VPN і різноманітні інтернет-додатки.

Поширення та методи зараження

Крім того, Lumma збирає різноманітні документи (PDF, DOCX, RTF) з локальних профілів користувачів та викрадає метадані заражених машин для подальшого використання. Шкідлива програма поширюється через кілька каналів, зокрема фішингові електронні листи, шкідливу рекламу, завантаження через зловмисні сайти і підроблені капчі. Інші зразки шкідливих програм також можуть завантажувати Lumma як додаткову загрозу.

Ідентифікація розробника та знищення операції

Microsoft ідентифікував основного розробника Lumma як російського хакера, відомого в мережі під псевдонімом «Shamel». У недавньому інтерв’ю з експертом з кібербезпеки хакер заявив, що у нього є близько 400 активних клієнтів. Однак, швидше за все, зараз ситуація змінилася, оскільки Windows Defender і інші засоби безпеки від Microsoft тепер надійно виявляють майже знищену шкідливу програму. Ймовірно, що програми сторонніх виробників антивірусів також позначили її ще до того, як органи влади зруйнували інфраструктуру.

Важливість боротьби з кіберзлочинністю

«Порушення інструментів, які часто використовуються кіберзлочинцями, може мати значний і тривалий вплив на кіберзлочинність, оскільки відновлення шкідливої інфраструктури та пошук нових інструментів експлуатації займає час і потребує значних витрат», – повідомила компанія Microsoft.