Lumma bilgi çalma, 2022 kökeninden siber suçlu manzaradaki en gelişmiş hizmet olarak kötü amaçlı yazılım (MAAS) ekosistemlerinden birine dönüştü.
Geniş bir bağlı kuruluş ağı aracılığıyla faaliyet gösteren Lumma, 2024’ün sonlarına kadar büyük yeraltı pazarlarında çalıntı kimlik bilgisi listelerinin yaklaşık% 92’sini oluşturan baskın Infostealer platformu olarak kurdu.
Kötü amaçlı yazılımların başarısı, sadece teknik inovasyondan değil, gizliliği en üst düzeye çıkarmak, operasyonel sürekliliği sağlamak ve güvenlik karşı önlemlerine hızlı uyum sağlamayı kolaylaştırmak için tasarlanmış kapsamlı operasyonel etkinleştiricilerden kaynaklanmaktadır.
Tek vektör saldırılarına dayanan geleneksel kötü amaçlı yazılım işlemlerinin aksine, Lumma iştirakleri proxy ağlarını, sanal özel ağları, anti-tespit tarayıcıları, istismar hizmetleri ve krip araçlarını entegre eden çok katmanlı bir yaklaşım kullanır.
Bu birbirine bağlı altyapı, bağlı kuruluşların farklı saldırı vektörlerinde operasyonel güvenliği korurken, kiralama sahtekarlığı ve kripto para birimi hırsızlığı da dahil olmak üzere birden fazla ceza planı işletmesini sağlar.
Ekosistemin esnekliği, Lumma altyapısının günler içinde yeniden kurulduğu ve platformun operasyonel disiplini ve dağıtılmış mimarisini sergileyen Mayıs 2025’te büyük kolluk kuvvetlerinin yayılmasının ardından gösterildi.
Kötü amaçlı yazılımların saldırı metodolojisi, yaklaşık 70 tarayıcı kripto para uzantısını ve iki faktörlü kimlik doğrulama eklentilerini hedefleyen krom ve mozilla tabanlı tarayıcılardan kimlik bilgisi hasatına odaklanmaktadır.
Lumma’nın teknik karmaşıklığı, algılama imzalarını en aza indirmek için 150-300 kb ağırlığında yapılarda paketlenmiş olarak sunucu tarafı günlük şifreleme, uyarlanabilir dosya yakalama özellikleri ve entegre ters proxy işlevselliği içerir.
Kayıtlı gelecek analistler, Lumma ortaklık ağlarında dolaşan daha önce belgelenmemiş araçlar, çatlak bir e-posta kimlik bilgisi doğrulama yardımcı programı ve AI ile çalışan kimlik avı sayfası jeneratörleri de dahil olmak üzere belirlenmiştir.
.webp)
Bu keşifler, ekosistemin sürekli evrimini ve modern siber suçlu operasyonların işbirlikçi doğasını vurgulamaktadır, burada uzmanlaşmış hizmet sağlayıcıların özel araç seti ve altyapı hizmetleri aracılığıyla satış ortağı yeteneklerini geliştirmektedir.
Gelişmiş Kaçırma Altyapısı: Hayalet Entegrasyonu
Lumma’nın kaçırma yeteneklerindeki en önemli ilerleme, 2024’ün başlarında Ghostsocks ekibi ile ortaklığı yoluyla ortaya çıktı.
.webp)
Bu işbirliği, enfekte kurban makinelerini çoraplara dönüştüren konut proxy işlevselliğini tanıttı.
Entegrasyon, her başarılı enfeksiyonun potansiyel olarak gelecekteki operasyonlar için bir röle noktası haline geldiği kendi kendini sürdüren bir proxy ağı oluşturur.
# Example SOCKS5 proxy configuration used by Lumma affiliates
proxy_config = {
"type": "socks5",
"host": "infected_victim_ip",
"port": 1080,
"authentication": "none",
"tunnel_traffic": "all_http_https"
}2025 yılına kadar Lumma, bu teklifi BackConnect Proxy erişimini içerecek şekilde genişleterek tehdit aktörlerinin doğrudan mağdur cihazlardan kaynaklanan saldırılar yapmasına izin verdi.
Bu özellik, kurban makineleri aracılığıyla başlatılan saldırılar konum tabanlı güvenlik kontrollerini atlayabilir ve süresi dolmuş kimlik doğrulama belirteçlerini sorunsuz bir şekilde yenileyebildiğinden, Google’ın çerez tabanlı koruma mekanizmalarına karşı özellikle etkilidir.
Sistemin karmaşıklığı, uzlaşmış makinelere kalıcı bağlantıları sürdürme yeteneğinde yatmakta ve ilişkilendirme çabalarını karmaşıklaştıran dağıtılmış bir anonimleştirme ağı oluşturur.
Proxy altyapısını tamamlayan Lumma iştirakleri, platform güvenlik önlemlerini tetiklemeden çok hesaba katılan yönetimi kolaylaştıran yunusları, yunusları büyük ölçüde kullanırlar.
Bu tarayıcılar, her oturum için benzersiz dijital parmak izleri üreterek bağlı kuruluşların farklı platformlarda düzinelerce hileli hesap kullanmalarını sağlarken, tutarlı davranış kalıpları ve cihaz özellikleri yoluyla görünür meşruiyeti korur.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.