Siber güvenlik manzarası, sofistike bilgi çalmalarından önemli tehditlerle karşılaşmaya devam ediyor ve Lumma, hem tüketici hem de kurumsal ortamları hedefleyen en yaygın ve tehlikeli kötü amaçlı yazılım ailelerinden biri olarak ortaya çıkıyor.
Bu kötü niyetli yazılım, giriş kimlik bilgileri, kripto para birimi cüzdan bilgileri, kişisel olarak tanımlanabilir bilgiler, oturum belirteçleri ve çok faktörlü kimlik doğrulama jetonları dahil olmak üzere enfekte olmuş makinelerden gelen muazzam miktarda hassas veri hassasiyetini sistematik olarak toplar – esasen web tarayıcılarında depolanan tüm veriler aktarmaya karşı savunmasız hale gelir.
Shamel olarak bilinen, Lumma ve Hellscoder’ın takma adları altında da faaliyet gösteren tehdit oyuncusu tarafından geliştirilen bu Rus merkezli kötü amaçlı yazılım, ilk olarak 2022’de siber suçlu forumlarında ortaya çıktı ve etkinliği ve gizli yetenekleri nedeniyle pazar hakimiyetini hızla kazandı.
Kötü amaçlı yazılımların erişimi şaşırtıcıdır, Lumma’nın özel pazar yeri Nisan ve Haziran 2024 arasında “günlükler” adı verilen çalınan veri paketlerinin en yüksek teklif verene satıldığı 21.000’den fazla listeye ev sahipliği yapar.
Intel 471 analistler, kurbanların korsan yazılım aramaları yoluyla çekildiği yaygın dağıtım kampanyalarını belirledi ve saldırganlar arama motoru optimizasyon tekniklerinden ve kötü niyetli reklamlardan yararlandı.
.webp)
Enfeksiyon zinciri genellikle kullanıcılar, “Ücretsiz Cracked Software Sitesi: Google.com’u İndir” gibi sorgular kullanarak çatlak uygulamalar aradığında başlar ve bunları sonuçta kötü amaçlı yazılım yükünü sağlayan tehlikeye atılmış Google barındıran sitelere götürür.
.webp)
Teknik Enfeksiyon Mekanizması ve Kaçma Taktikleri
Kötü amaçlı yazılım, kullanıcıların şifre korumalı ikincil arşivler içeren zip arşivlerini indirmesiyle başlayan sofistike bir çok aşamalı dağıtım süreci kullanır.
Ekstraksiyon üzerine kurbanlar, tipik olarak Setup.exe veya Setup.exe olarak adlandırılan Nullsoft Scriptable Install Sistemi (NSIS) yükleyicisiyle karşılaşır ve Cypherit Crypter ile paketlenmiş Lumma yükünü yürütür-kötü amaçlı yazılım imzalarını aşmak ve güvenlik algılamasını EVETED olarak tasarlanmış bir araçtır.
Bir kez aktif olduktan sonra Lumma, meşru pencereler kullanarak gelişmiş kaçırma tekniklerini uygular. Kötü amaçlı yazılım, görev listesi ve FindStr komutları aracılığıyla çevre keşiflerini yürüten, yoğun bir şekilde gizlenmiş parti komut dosyalarını yürüten bir komut.exe örneği oluşturur.
Bu yer-ümit yaklaşımı, Bitdefender, ESET, Hızlı Heal ve Sophos dahil olmak üzere aktif güvenlik süreçlerini arar-tespit edilirse yürütmeyi son derece sonlandırır.
Mayıs 2025’te 2.300’den fazla alanı ele geçiren ve küresel olarak 394.000 enfekte edilmiş makineyi etkileyen kolluk kuvvetleri çabalarına rağmen, Lumma operatörleri altyapıyı hızla restore ederek bu tehdidin kalıcı doğasını gösterdi.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.