Een uitgestrekte operatie uitgevoerd door wereldwijde wetshandhavingsinstanties en een consortium van bedrijven in de particuliere sector heeft de online infrastructuur verstoord die is geassocieerd met een grondstoffeninformatie-stealer die bekend staat als lumma (aka lummac of lummac2) en 2,300 domeinen in beslag genomen die handelde als de commando-en-controle windows-systemen.
“Malware zoals LUMMAC2 wordt ingezet om gevoelige informatie te stelen, zoals inloggegevens van gebruikers van miljoenen slachtoffers om een groot aantal misdaden te faciliteren, waaronder frauduleuze banktransfers en diefstal van cryptocurrency,” zei het Amerikaanse ministerie van Justitie (DOJ) in een verklaring.
De in beslag genomen infrastructuur is gebruikt om zich over de hele wereld te richten via gelieerde ondernemingen en andere cybercriminelen. Lumma Stealer, actief sinds eind 2022, wordt naar schatting in ten minste 1,7 miljoen gevallen gebruikt om informatie te stelen, zoals browsergegevens, autofillinformatie, inloggegevens en cryptocurrency zaadzinnen. Het US Federal Bureau of Investigation (FBI) heeft ongeveer 10 miljoen infecties toegeschreven aan Lumma.
De inbeslagname heeft gevolgen voor vijf domeinen die dienen als inlogpanelen voor de beheerders van Lumma Stealer en klanten betalen om de malware te implementeren, waardoor ze voorkomen dat ze de computers in gevaar brengen en slachtofferinformatie stelen.
“Tussen 16 maart en 16 mei 2025 identificeerde Microsoft meer dan 394.000 Windows -computers die wereldwijd zijn geïnfecteerd door de Lumma -malware,” zei Europol, die de operatie toevoegt de communicatie tussen het kwaadaardige tool en slachtoffers afsnijdt. Het bureau beschreef Lumma als de ‘werelds belangrijkste infontealer -dreiging’.
Microsoft’s Digital Crimes Unit (DCU), in samenwerking met andere cybersecuritybedrijven ESET, BITSight, Lumen, Cloudflare, Cleandns en GGO -registratie, zei dat het ongeveer 2.300 kwaadaardige domeinen daalde die de ruggengraat vormden van de infrastructuur van Lumma.
“De primaire ontwikkelaar van Lumma is gevestigd in Rusland en gaat door de internet -alias ‘Shamel’,” zei Steven Masada, assistent -algemene raadsman bij DCU. “Shamel markeert verschillende servicevetters voor Lumma via Telegram en andere Russische chatforums. Afhankelijk van welke service een cybercriminele aankopen, kunnen ze hun eigen versies van de malware maken, tools toevoegen om het te verbergen en te distribueren en gestolen informatie te volgen via een online portal.”
De Stealer, op de markt gebracht onder een malware-as-a-service (MAAS) -model, is beschikbaar op abonnementbasis voor ergens tussen de $ 250 en $ 1.000. De ontwikkelaar biedt ook een plan van $ 20.000 dat klanten toegang geeft tot broncode en het recht om het te verkopen aan andere criminele actoren.
“Lagere niveaus omvatten basisfiltering en log downloadopties, terwijl hogere niveaus aangepaste gegevensverzameling, ontwijkingshulpmiddelen en vroege toegang tot nieuwe functies bieden,” zei ESET. “Het duurste plan benadrukt stealth en aanpassingsvermogen en biedt unieke build -generatie en verminderde detectie.”
In de loop der jaren is Lumma iets van een beruchte bedreiging geworden, geleverd via verschillende distributievectoren, waaronder de steeds populaire ClickFix -methode. De Windows Maker, die de dreigingsacteur achter de Stealer volgt onder de naam Storm-2477, zei dat de distributie-infrastructuur zowel “dynamisch als veerkrachtig” is, een combinatie van phishing, malvertising, drive-by downloadschema’s, misbruik van vertrouwde platforms en verkeersdistributiesystemen zoals Prometheus.
Cato Networks, in een rapport dat woensdag is gepubliceerd, onthulden dat vermoedelijke Russische dreigingsactoren gebruik maken van Tigris Object Storage, Oracle Cloud Infrastructure (OCI) Object Storage en Scaleway Object Storage om neprecaptcha-pagina’s te hosten die gebruik maken van clickfix-stijl Lures om gebruikers te misleiden om gebruikers te downloaden in het downloaden van Lumma Stealer.
“De recente campagne maakt gebruik van Tigris Object Storage, OCI Object Storage en Scaleway Object Storage Builds op eerdere methoden, die nieuwe leveringsmechanismen introduceren die gericht zijn op het ontwijken van detectie en het richten van technisch bekwame gebruikers,” zei onderzoekers Guile Domingo, Guy Waizel en Tomer Agayev.
Sommige van de opmerkelijke aspecten van de malware zijn hieronder –
- Het maakt gebruik van een meerlagige C2-infrastructuur die bestaat uit een set van negen vaak veranderende tier-1-domeinen die hard zijn gecodeerd in de configuratie van de malware en fallback C2’s gehost op stoomprofielen en telegramkanalen die wijzen op Tier-1 C2S
- De payloads worden doorgaans verspreid met behulp van pay-per-installatie (PPI) -netwerken of verkeersverkopers die Installs-as-a-Service leveren.
- De Stealer is meestal gebundeld met spoofed software of gebarsten versies van populaire commerciële software, gericht op gebruikers die niet willen betalen voor legitieme licenties
- De operators hebben een telegrammarkt gemaakt met een beoordelingssysteem voor gelieerde ondernemingen om gestolen gegevens te verkopen zonder tussenpersonen
- De kernbinaire binair wordt verdoezeld met geavanceerde bescherming zoals virtuele machine op laag niveau (LLVM-kern), controlestroomafval (CFF), controlestroomversterking, aangepaste stapeldecodetie, enorme stapelvariabelen en dode codes, onder andere om statisch analyse moeilijk te maken
- Er waren meer dan 21.000 marktlijsten die Lumma Stealer -logboeken verkochten op meerdere cybercriminele forums van april tot juni 2024, een stijging van 71,7% van april tot juni tot 2023
“De lumma -distributie -infrastructuur is flexibel en aanpasbaar,” zei Microsoft. “Operators verfijnen voortdurend hun technieken, roterende kwaadaardige domeinen, het exploiteren van advertentienetwerken en het benutten van legitieme cloudservices om detectie te ontwijken en operationele continuïteit te behouden. Om de echte C2 -servers verder te verbergen, zijn alle C2 -servers verborgen achter de cloudflare proxy.”
“Deze dynamische structuur stelt operators in staat om het succes van campagnes te maximaliseren en tegelijkertijd de inspanningen te bemoeien om hun activiteiten te traceren of te ontmantelen. De groei en veerkracht van Lumma Stealer benadrukt de bredere evolutie van cybercriminaliteit en onderstreept de noodzaak van gelaagde verdedigingen en industriële samenwerking tegenover bedreigingen.”
Web Infrastructure Company Cloudflare zei dat het een nieuwe, tourniquet-compatibele interstitiële waarschuwingspagina plaatste voor de C2-server- en marktplaatsdomeinen van de kwaadwillende acteurs, en actie ondernam tegen de accounts die werden gebruikt om de domeinen te configureren.
“Deze verstoring werkte om hun activiteiten dagenlang volledig te tegenhouden, een aanzienlijk aantal domeinnamen neer te halen en uiteindelijk hun vermogen om geld te verdienen te blokkeren door cybercriminaliteit te plegen,” zei Blake Darché, hoofd van Cloudforce One. “Terwijl deze inspanning een aanzienlijke sleutel gooide in de grootste wereldwijde infrastructuur van de infostealers, zoals elke dreigingsacteur, zullen degenen achter Lumma tactieken verschuiven en herschikken om hun campagne online te brengen.”
In een interview met beveiligingsonderzoeker G0NJXA in januari 2025 zei de ontwikkelaar achter Lumma dat ze van plan waren de activiteiten tegen het volgende najaar te staken. “We hebben gedurende twee jaar veel werk gedaan om te bereiken wat we nu hebben”, zeiden ze. “We zijn hier trots op. Het is een onderdeel van ons dagelijkse leven voor ons geworden en niet alleen werken.”
