В мае прошлого года правоохранительные органы по всему миру одержали ключевую победу, когда они блокировали инфраструктуру Lumma, информационного вора, который заразил почти 395 000 компьютеров Windows всего за два месяца, предшествовавших международной операции. В среду исследователи заявили, что Lumma снова «вернулась в масштаб» в труднообнаружимых атаках, которые крадут учетные данные и конфиденциальные файлы.
Lumma, также известная как Lumma Stealer, впервые появилась на русскоязычных форумах по киберпреступности в 2022 году. Ее облачная модель «вредоносное ПО как услуга» обеспечивала разветвленную инфраструктуру доменов для размещения сайтов-приманок, предлагающих бесплатное взломанное программное обеспечение, игры и пиратские фильмы, а также каналы управления и контроля и все остальное, что нужно злоумышленнику для управления своим предприятием по краже информации. В течение года Lumma продавалась по цене 2500 долларов за премиальные версии. К весне 2024 года ФБР насчитало более 21 000 записей на криминальных форумах. В прошлом году Microsoft заявила, что Lumma стала «универсальным инструментом» для нескольких преступных группировок, включая Scattered Spider, одну из самых плодовитых группировок.
Тейкдауны — это сложно
ФБР и международная коалиция его коллег предприняли действия в начале прошлого года. В мае они заявили, что захватили 2300 доменов, инфраструктуру управления и контроля и криминальные рынки, которые способствовали процветанию информационного вора. Однако в последнее время вредоносная программа вернулась, позволив ей снова заразить значительное количество компьютеров.
«LummaStealer вернулся в свои масштабы, несмотря на крупное нападение правоохранительных органов в 2025 году, которое нарушило работу тысяч его доменов управления и контроля», — пишут исследователи из охранной компании Bitdefender. «Операция быстро восстановила инфраструктуру и продолжает распространяться по всему миру».
Как и в случае с Lumma, недавний всплеск в значительной степени опирается на «ClickFix», форму социальной инженерной приманки, которая доказала свою досадную эффективность в побуждении конечных пользователей заражать свои собственные машины. Как правило, эти типы приманок представляют собой поддельные CAPTCHA, которые вместо того, чтобы требовать от пользователей щелкнуть поле или идентифицировать объекты или буквы на беспорядочном изображении, инструктируют их скопировать текст и вставить его в интерфейс, и этот процесс занимает всего несколько секунд. Текст поступает в виде вредоносных команд, предоставляемых поддельной CAPTCHA. Интерфейс представляет собой терминал Windows. Цели, которые соответствуют требованиям, затем устанавливают вредоносное ПО-загрузчик, которое, в свою очередь, устанавливает Lumma.