Küresel kolluk kuvvetleri ve özel sektör firmaları konsorsiyumu tarafından üstlenilen genişleyen bir operasyon, Lumma (Lummac veya Lummac2) olarak bilinen bir emtia bilgi stealer ile ilişkili çevrimiçi altyapıyı bozarak, komuta ve control (C2) backbon’u Windows sistemlerini komuta etmek için ele geçiren 2.300 alanı ele geçirmiştir.
ABD Adalet Bakanlığı (DOJ) yaptığı açıklamada, “Lummac2 gibi kötü amaçlı yazılım, hileli banka transferleri ve kripto para birimi hırsızlığı da dahil olmak üzere bir dizi suçu kolaylaştırmak için milyonlarca kurbandan kullanıcı giriş bilgileri gibi hassas bilgileri çalmak için konuşlandırıldı.” Dedi.
El konulan altyapı, bağlı kuruluşlar ve diğer siber suçlular aracılığıyla dünya çapında milyonlarca insanı hedeflemek için kullanılmıştır. 2022’nin sonlarından beri aktif olan Lumma Stealer’ın tarayıcı verileri, otomatik doldurma bilgileri, giriş kimlik bilgileri ve kripto para tohumu ifadeleri gibi bilgileri çalmak için en az 1,7 milyon durumda kullanıldığı tahmin edilmektedir. ABD Federal Soruşturma Bürosu (FBI) yaklaşık 10 milyon enfeksiyonu Lumma’ya bağladı.
Nöbet, Lumma Stealer’ın yöneticileri için oturum açma panelleri olarak hizmet veren ve müşterilerin kötü amaçlı yazılımları dağıtmaları için ödeme yapan beş alanı etkiler, böylece bilgisayarlardan ödün vermelerini ve mağdur bilgilerini çalmasını önler.
“16 Mart ve 16 Mayıs 2025 arasında Microsoft, Lumma kötü amaçlı yazılımlarla küresel olarak enfekte olmuş 394.000’den fazla Windows bilgisayar tanımladı.” Ajans, Lumma’yı “dünyanın en önemli infostealer tehdidi” olarak nitelendirdi.
Microsoft’un Dijital Suç Birimi (DCU), diğer siber güvenlik şirketleri ESET, Bitsight, Lumen, Cloudflare, Cleandns ve GMO Register ile ortaklaşa, Lumma’nın altyapısının omurgasını oluşturan yaklaşık 2.300 kötü niyetli alanını düşürdüğünü söyledi.
 |
| Lumma Stealer kötü amaçlı yazılım enfeksiyonlarının Windows cihazlarına yayılması |
DCU genel danışman yardımcısı Steven Masada, “Lumma’nın birincil geliştiricisi Rusya’da yaşıyor ve internet takma adı ‘Shamel’ tarafından gidiyor. “Shamel, Telegram ve diğer Rusça sohbet forumları aracılığıyla Lumma için farklı hizmet katmanlarını pazarlar. Bir siber suçlu alımlarına hangi hizmete bağlı olarak, kötü amaçlı yazılım versiyonlarını oluşturabilir, gizlemek ve dağıtmak için araçlar ekleyebilir ve çalıntı bilgileri çevrimiçi bir portal aracılığıyla izleyebilir.”
Hizmet olarak kötü amaçlı yazılım (MAAS) modeli altında pazarlanan stealer, 250 ila 1.000 dolar arasında herhangi bir yerde abonelik bazında mevcuttur. Geliştirici ayrıca müşterilere kaynak koduna erişim ve diğer suçlu aktörlere satma hakkı sağlayan 20.000 dolarlık bir plan sunuyor.
 |
| Haftalık yeni C2 alan sayısı |
ESET, “Daha düşük katmanlar temel filtreleme ve günlük indirme seçeneklerini içerirken, daha yüksek katmanlar özel veri toplama, kaçırma araçları ve yeni özelliklere erken erişim sunuyor.” Dedi. “En pahalı plan, benzersiz yapı üretimi ve azaltılmış algılama sunarak gizli ve uyarlanabilirliği vurgular.”
Yıllar boyunca, Lumma, giderek daha popüler olan ClickFix yöntemi de dahil olmak üzere çeşitli dağıtım vektörleri aracılığıyla teslim edilen kötü bir tehdit haline geldi. Storm-2477 adı altında stealer’ın arkasındaki tehdit oyuncusunu izleyen Windows Maker, dağıtım altyapısının hem “dinamik ve esnek” olduğunu, kimlik avı, kötü niyetli, sürüş, aşağı indirme şemaları, güvenilir platformların kötüye kullanılması ve Prometheus gibi trafik dağılım sistemlerinin bir kombinasyonundan yararlandığını söyledi.
 |
| Lumma C2 seçim mekanizması |
Çarşamba günü yayınlanan bir raporda Cato Networks, şüpheli Rus tehdit aktörlerinin, kullanıcıları lumma stealer’ı indirmek için kandırmak için tıklama fix tarzı lürelerden yararlanan sahte recaptcha sayfalarını barındırmak için Dicle Nesne Depolama, Oracle Cloud Altyapı (OCI) nesne depolama ve Scaleway nesne depolama alanından yararlandığını ortaya koydu.
Araştırmacılar Guile Domingo, Guy Waizel ve Tomer Agayev, “Son kampanya Dicle Nesne Depolama, OCI Nesne Depolama ve Scaleway Nesne Depolama ve Scaleway Nesne Depolama’dan daha önceki yöntemler oluşturuyor,” teknik olarak yetkin kullanıcıları hedeflemeyi ve hedeflemeyi amaçlayan yeni dağıtım mekanizmaları getiriyor. “Dedi.
 |
| Prometheus TDS’yi kullanarak Lumma Stealer’a giden ClickFix için Saldırı Akışı |
Kötü amaçlı yazılımların dikkate değer yönlerinden bazıları aşağıdadır –
- Tier-1 C2S’ye işaret eden buhar profilleri ve telgraf kanallarında barındırılan kötü amaçlı yazılımların yapılandırmasına ve geri dönüş C2’lerine sabit kodlu dokuz sıkça değişen katman-1 alanından oluşan çok katmanlı bir C2 altyapısı kullanır.
- Yükler tipik olarak, hizmet olarak yükleme sunan sstall başına ödeme (PPI) ağları veya trafik satıcıları kullanılarak yayılır.
- Stealer genellikle sahte yazılım veya popüler ticari yazılımın çatlamış sürümleriyle birlikte toplanır ve meşru lisanslar için ödeme yapmaktan kaçınmak isteyen kullanıcıları hedefler
- Operatörler, bağlı kuruluşların aracı olmadan çalınan verileri satmaları için bir derecelendirme sistemi olan bir telgraf pazar yeri oluşturdu
- Çekirdek ikili, düşük seviyeli sanal makine (LLVM çekirdeği), kontrol akışı düzleşmesi (CFF), kontrol akışı gizleme, özelleştirilmiş yığın şifreleme, büyük yığın değişkenleri ve ölü kodlar gibi gelişmiş koruma ile gizlenmiştir.
- Nisan – Haziran 2024 yılları arasında birden fazla siber suçlu forumda Lumma Stealer günlükleri satan 21.000’den fazla piyasa listesi vardı, Nisan – Haziran 2023 arasında% 71,7’lik bir artış
Microsoft, “Lumma Stealer dağıtım altyapısı esnek ve uyarlanabilir.” Dedi. “Operatörler, tekniklerini sürekli olarak hassaslaştırır, kötü niyetli alanları döndürür, reklam ağlarından yararlanır ve operasyonel süreklilikten kaçınmak ve gerçek C2 sunucularını daha da gizlemek için meşru bulut hizmetlerinden yararlanmak.
Diyerek şöyle devam etti: “Bu dinamik yapı, faaliyetlerini izleme veya sökme çabalarını karmaşıklaştırırken operatörlerin kampanyaların başarısını en üst düzeye çıkarmalarını sağlar. Lumma Stealer’ın büyümesi ve esnekliği, siber suçların daha geniş bir evrimini vurgular ve karşı tehditlere katmanlı savunma ve endüstri işbirliği ihtiyacının altını çizer.”
Ocak 2025’te güvenlik araştırmacısı G0NJXA ile yapılan bir röportajda, Lumma’nın arkasındaki geliştirici, bir sonraki sonbaharda operasyonları durdurmayı amaçladıklarını söyledi. “Şu anda sahip olduğumuz şeyleri elde etmek için iki yıldan fazla bir süredir iş yaptık” dediler. “Bununla gurur duyuyoruz. Sadece çalışmak değil, bizim için günlük yaşamımızın bir parçası haline geldi.”