Infostealers, tehlikeye atılan sistemlerden büyük miktarda hassas veri çalan özel kötü amaçlı yazılım varyantlarıdır.
Bu, oturum belirteçleri, giriş kimlik bilgileri, kripto para birimi cüzdan bilgileri, kişisel olarak tanımlanabilir bilgiler (PII), çok faktörlü kimlik doğrulama (MFA) artefaktları ve bir tarayıcıda depolanan hemen hemen her veriyi içerir.
Bu tehditler, kimlik avı operasyonları, sosyal mühendislik taktikleri, kötü niyetli ve SEO-manipüle edilmiş kampanyalar yoluyla yayılırken, sömürülebilirliklerine göre değerlenen yeraltı pazarlarında “günlükler” olarak metalaştırılmış çalınan verilerle yayılır.
Bu çoğalma, tehlikeye atılan kişisel bir cihazın, kimlik bilgisi yeniden kullanımını tespit eden gelişmiş uç nokta korumalarını bile atlayarak, kurumsal kimlik bilgilerini yanlışlıkla ortaya çıkarabileceği hem tüketici hem de kurumsal ortamlar için güvenlik zorluklarını artırır.
Rus merkezli tehdit oyuncusu Shamel’e (Lumma veya Hellscoder olarak da bilinir) atfedilen önde gelen bir infostealer olan Lumma, 2022’de siber suçlu forumlarında ortaya çıktı ve etkinliği, kullanıcı dostu arayüzü ve güvenlik tespitlerinin kanıtlanması nedeniyle pazar payını hızla yakaladı.
Hatta artırmak için kendi pazarını entegre etti; Nisan ve Haziran 2024 arasında, ölçeğinin altını çizerek 21.000’den fazla liste kaydedildi.
Enfeksiyonlar genellikle, rakiplerin yanlış etiketlenmiş yürütülebilirleştirilebilir veya görünüşte meşru uygulamalar içine yüklemeleri yerleştirdiği korsan veya çatlamış yazılım aramalarından kaynaklanır.
Mart 2025’in sonlarında yapılan son analizler, Google tarafından barındırılan sitelerden yararlanan kampanyaları ortaya çıkardı ve “Ücretsiz Cracked Software Sitesi: Google.com” gibi sorgular kullanıcıları Lumma yüklü indirmelere yönlendirdi.
Bu sonuçları tıklatan kurbanlar veya X (eski adıyla Twitter) veya Google Colab gibi platformlarda kötü niyetli bağlantılar, “Now Now” düğmelerini içeren ikincil alanlara yönlendirilir ve şifre korumalı iç fermuar içeren zip arşivlerine yol açar.
Ekstraksiyon, Lumma’yı dağıtan, Cypherit Crypter aracılığıyla gizlenen bir NSIS yükleyicisi (örneğin, setup.exe) verir, antivirüs incelemesinden kaçınmak için polimorfik olarak kötü amaçlı yazılım imzalarını değiştiren bir araç.
Kolluk kuvvetleri
Mayıs 2025’te koordineli bir uluslararası çaba, Lumma’nın altyapısını bozarak komuta ve kontrol (C2) sunucularını hedef aldı.
Microsoft, 2.300 ile ilişkili alan adlarını ele geçirmek veya engellemek için bir mahkeme emri aldı, ABD Adalet Bakanlığı Lumma’nın kontrol paneline komuta etti ve Japonya’nın J3C’sinin yanında Europol’un EC3’ü ek bileşenleri söktü.
Bu işlem, küresel olarak 394.000’den fazla enfekte Windows sistemini tanımladı ve iyileştirme girişimleri devam etti.
Çıkış sonrası Lumma operatörleri, kolluk kuvvetlerinin disk silgileri ve yedekleme sunucusu uzlaşması da dahil olmak üzere güvenlik açıklarından yararlandığını kabul etti ve müşterilerinin IP adreslerini değiştirmek için kullanılan bir etki alanı devralma bildirdi.
FBI, kullanıcılara “tüm günlüklerinizin ve hesap bilgilerinizin bizimle güvende olduğunu” garanti ederek ilgili bir telgraf kanalına sızdı.
Buna rağmen, yeni C2 sunucuları hızla yeniden ortaya çıktı ve kötü amaçlı yazılımların ekosistem restorasyonunu ve devam eden tehdit kalıcılığını işaret etti.
Gelişmiş tehdit avı
Crypter kaynaklı polimorfizm ve sık C2 rotasyonları tehdit avcıları nedeniyle güvenilmez olan dosya karmalar veya alanlar gibi statik göstergelerin ötesinde avcılar davranışsal kalıplara odaklanır.
Lumma varyantları, özellikle de Cypherit dolu olanlar, potansiyel sonlandırma için Bitdefender, ESET, Hızlı İyileşme veya Sophos gibi güvenlik araçlarını tanımlamak için görev listesi.exe ve findstr.exe gibi yaşam süresi ikili dosyaları (LOLBINS) kullanır.
Bu keşif, savunmalar algılanırsa yürütmeyi durduran görev listesi çıktısını filtreleyen bir CMD.EXE örneği ile başlar.
Splunk, Crowdstrike Logscale ve Microsoft Sentinel gibi araçlarla uyumlu özel av paketleri, şüpheli komut satırı kalıpları için Sysmon günlüklerini sorgulayarak bu tür anomalileri tespit edin.
Örneğin, bir Splunk avı, “şifre” içeren dosyalar ve ardından görev listesi çağrılarını ve potansiyel olarak veri toplama veya kalıcılık çabalarını gösteren hızlı FindStr arayışlarını ortaya çıkarabilir.
Kötü niyeti iyi huylu aktiviteden ayırmak, tarihsel kalıpları temel almayı gerektirir.
Lumma dağıtım için çatlak yazılımlardan yararlanan kampanyalar hakkında kötü amaçlı yazılım istihbarat raporları tarafından bilgilendirilen bu proaktif avcılık, bu esnek infostealer’ı hafifletmek için çok önemlidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now