Lumma Infostealer, Ağustos 2022’de ortaya çıkışından bu yana hızla hizmet olarak kötü amaçlı yazılım platformlarının temel taşı haline geldi ve vasıfsız tehdit aktörlerinin bile yüksek değerli kimlik bilgilerini toplamasına olanak sağladı.
Esas olarak, şifrelenmiş yazılım yükleyicileri gibi davranan kimlik avı siteleri aracılığıyla gönderilen kötü amaçlı yük, imza tabanlı tespitten kaçınmak için tasarlanmış bir Nullsoft Komut Dosyalı Kurulum Sistemi (NSIS) paketi içinde kapsüllenir.
Yürütmenin ardından, parçalanmış AutoIt modülleri, işlem boşluğu yoluyla yüklenen karmaşık kabuk koduyla bellekte yeniden birleştirilir.
Bu teknik, yasal bir işlemi hırsızın yerine koyar ve etkinliğini iyi niyetli bir yürütülebilir dosya kisvesi altında kamufle eder.
Genians analistleri, Eylül 2025’te kimlik bilgisi hırsızlığı raporlarındaki artışın ardından Lumma Infostealer’ı tespit etti. Hem tüketici hem de kurumsal ortamlardaki mağdurlar, web oturumlarına, uzak masaüstü hizmetlerine ve dijital varlık cüzdanlarına yetkisiz erişim bildirdi.
Çalınan tarayıcı çerezleri ve hesap belirteçleri, çoğu durumda çok faktörlü kimlik doğrulama önlemlerini atlayarak kesintisiz oturum ele geçirmeyi kolaylaştırır.
Yerel veritabanlarında kayıtlı kripto para cüzdanlarının yanı sıra yapılandırma dosyalarında saklanan VPN ve RDP kimlik bilgileri, şifrelenmiş kanallar aracılığıyla, ele geçirilen bulut altyapısında barındırılan komuta ve kontrol (C2) alanlarına sızıyor.
Bu hırsızlıkların çok yönlü doğası, kimlik sahtekarlığı, mali kayıp ve daha derin ağ saldırıları potansiyelini artırıyor.
Lumma Infostealer genellikle fidye yazılımı ve diğer takip eden saldırılar için bir başlangıç noktası olarak hizmet etse de, tek başına etkisi geniş kapsamlıdır.
Kurbanlar, yetkisiz banka havaleleri veya yer altı forumlarında yasa dışı hesap listelemeleri gibi ikincil eylemler, uzlaşmayı gün ışığına çıkarana kadar ihlalden habersiz kalabilir.
Kötü amaçlı yazılımın modüler tasarımı, geliştiricilerin yeni tespit imzalarından kaçınmak için düzenli yamalar uygulamasıyla sürekli güncellemeleri kolaylaştırır.
Uç nokta tespit ve yanıt (EDR) sistemlerini davranış tabanlı analiz ve tehdit istihbaratı entegrasyonuyla güçlendirmek, veriler saldırganın C2 altyapısına ulaşmadan önce saldırı zincirini engellemek için kritik öneme sahiptir.
Enfeksiyon Mekanizması ve Kaçınma Taktikleri
Lumma’nın bulaşma stratejisinin merkezinde, geleneksel tarayıcıları atlayan katmanlı bir yükleyici yer alıyor. Bir kullanıcı indirilen NSIS yükleyicisini çalıştırdığında, bir ZIP arşivini Temp dizinine bırakır.
Daha sonra bir komut satırı komut dosyası (Contribute.docx) çağrılır extrac32.exe gizlenmiş bir Dolap dosyasını açmak için.
Çıkarılan bileşenler (bir AutoIt betiğinin ve AutoIt yorumlayıcısının parçaları) programlı olarak tek bir yürütülebilir saplamada birleştirilir.
Aşağıdaki kod parçası, son yükü enjekte etmek için kullanılan işlem boşaltma rutinini göstermektedir: –
; Fragment of AutoIt loader
Run("cmd.exe /c Contribute.docx")
_ConsoleWrite("Launching AutoIt mode...")
_ProcessCreate("Riding.pif", "", @SystemDir, 0, $pi)
_WinAPI_WriteProcessMemory($pi.hProcess, $remoteAddr, $shellcode, BinaryLen($shellcode))
_WinAPI_SetThreadContext($pi.hThread, $context)
_WinAPI_ResumeThread($pi.hThread).webp)
Güvenlik süreçlerinin yokluğunu doğrulayarak (örneğin SophosHealth, ekrn, AvastUI) ile tasklist Ve findstryükleyici, buluşsal savunmaları aşarak yürütme zamanlamasını ve yük yerleşimini ayarlar.
Kötü amaçlı süreç, enjekte edildikten sonra C2 etki alanlarının (rhussois.su, diadtuky.su ve todoexy.su) şifresini çözer ve veri sızdırma için şifrelenmiş kanallar oluşturur.
Çalınan eserler arasında web tarayıcısı çerezleri, Telegram oturum verileri, kripto para birimi cüzdan dosyaları ve VPN ile RDP hizmetlerine yönelik yapılandırma dosyaları yer alıyor.
Bu kimlik bilgileri, genellikle anında alarm vermeden, kurban ağları içerisinde yanal harekete ve kalıcı erişime olanak sağlar.
Lumma Infostealer’ın enfeksiyon mekanizmasının karmaşıklığı, süreç ekleme olaylarının sürekli izlenmesi, yükleyici davranışlarının rutin olarak denetlenmesi ve uygulama izin verilenler listesine ekleme politikalarının uygulanmasının gerekliliğinin altını çiziyor.
Bilinen C2 etki alanları için ağ düzeyinde bloklamalar uygulamak ve şüpheli NSIS paketleri için sanal alan patlatma kullanmak, bu gizli ve uyarlanabilir bilgi hırsızlığının oluşturduğu tehdidi daha da azaltabilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
