Identiteti navodnih ključnih članova grupe Lumma Stealer razotkriveni su u underground doxxing kampanji.
Aktivnost Lumma Stealer malvera za krađu informacija značajno je opala tokom posljednjih nekoliko mjeseci, nakon što su identiteti petorice navodnih ključnih članova grupe javno objavljeni.
Lumma Stealer (poznat i kao LummaC2 Stealer ili LummaC2) se nudi na podzemnim forumima kao „malware-as-a-service“ (MaaS) još od avgusta 2022. godine i predstavlja jedan od najistaknutijih infostealera ove godine.
Malver je bio meta policijske operacije u maju ove godine, ali je obnovio aktivnost dva mjeseca kasnije, na novoj infrastrukturi.
Od juna do septembra hakeri koji stoje iza Lumma Stealera bili su izuzetno aktivni, ali se to promijenilo prošlog mjeseca, kada je Trend Micro zabilježio nagli pad aktivnosti komandno-kontrolne (C&C) infrastrukture povezane sa ovim MaaS-om.
Pad aktivnosti, kako navodi kompanija za sajber bezbjednost, poklapa se sa podzemnom doxxing kampanjom usmjerenom protiv Lumma Stealer grupe, koja je poznata i pod imenima Water Kurita i Storm-2477.
„Navodno motivisana konkurencijom, ova kampanja otkrila je lične i operativne detalje nekoliko ključnih članova, što je dovelo do značajnih promjena u infrastrukturi i komunikaciji Lumma Stealera“, navodi Trend Micro.
Kao dio doxxing kampanje, objavljeni su lični podaci navodnih članova grupe, njihovi profili na društvenim mrežama, finansijske informacije i lozinke, na sajtu nazvanom „Lumma Rats“.
Dvojica od petorice identifikovanih pojedinaca izgleda da su administrator i glavni developer malvera, dok su uloge preostale trojice nepoznate.
„Objavljeni su izuzetno osjetljivi podaci poput brojeva pasoša, informacija o bankovnim računima, email adresa i linkova ka različitim online profilima“, navodi Trend Micro.
Prema tvrdnjama kompanije, iza doxxing kampanje stoji neko sa insajderskim znanjem o operaciji ili sa pristupom kompromitovanim nalozima i bazama podataka.
Nakon objavljivanja informacija, Telegram nalog grupe navodno je kompromitovan, što je spriječilo hakere da komuniciraju sa svojim klijentima i dovelo do naglog pada aktivnosti ovog infostealera.
„Važno je napomenuti da tačnost objavljenih podataka i stvarna povezanost navedenih osoba nisu nezavisno potvrđene. Kampanja može biti motivisana ličnim ili konkurentskim sukobima, pa se atribucija mora posmatrati sa oprezom“, dodaje Trend Micro.
Ovaj nagli pad aktivnosti Lumma Stealera naveo je sajber kriminalce da potraže alternative, pri čemu su Vidar i StealC infostealeri postali najpopularnije zamjene. Promjena je uticala i na Amadey PPI (pay-per-install) servis, koji je ranije korišćen za distribuciju Lumma Stealera.
Ovaj pomak, upozorava Trend Micro, podstakao je i druge MaaS operatere da agresivno promovišu svoje usluge, što bi moglo dovesti do pojave „novih, prikrivenijih varijanti infostealera“ na tržištu.
Izvor: SecurityWeek