Siber güvenlik manzarası, bilgi çalan kötü amaçlı yazılımlarda önemli bir artışa tanık oldu ve Lumma, küresel olarak Windows sistemlerini hedefleyen en yaygın ve sofistike tehditlerden biri olarak ortaya çıktı.
Bu C ++ tabanlı bilgi çalma, yeraltı pazarlarında hızla çekiş kazandı ve kendini dünya çapında yüz binlerce bilgisayarı enfekte eden müthiş bir Hizmet Olarak Kötü Yazılım (MAAS) operasyonu olarak kurdu.
Kötü amaçlı yazılımların sofistike çok aşamalı enfeksiyon zinciri ve ileri kaçaklama teknikleri, güvenlik araştırmacıları ve kuruluşlar için sürekli bir zorluk haline getirmiştir.
Lumma’nın ön plana çıkması, kapsamlı veri hırsızlığı yeteneklerine ve sağlam dağıtım ağına atfedilebilir.
Kötü amaçlı yazılım, tarayıcı veritabanlarını, kripto para cüzdanlarını, kullanıcı kimlik bilgilerini ve hassas belgeleri sistematik olarak hedefler, bu da hem bireysel kullanıcılar hem de kurumsal ortamlar için özellikle tehlikeli hale getirir.
Operatörleri, farklı coğrafi bölgelerde yaygın dağıtım elde etmek için kimlik avı kampanyaları, kötü niyetli ekler ve tehlikeye atılmış web siteleri de dahil olmak üzere çeşitli saldırı vektörlerinden yararlandı.
.webp)
Withecure analistleri, Şubat ve Mart 2025 arasında açık kaynaklı örneklerin analizi sırasında Lumma’yı tanımladı ve kötü amaçlı yazılımların sofistike üç aşamalı enfeksiyon sürecini ortaya koydu.
Araştırmacılar, bu tehditleri soruşturmaları sırasında birçok kez karşılaştı ve tehdit manzarasındaki artan yaygınlığını kaydetti.
Kapsamlı analizleri, saldırı dizisi için ilk giriş noktası görevi gören bir .NET/C# yükleyici ile başlayarak kötü amaçlı yazılımların karmaşık enfeksiyon zincirini ortaya çıkardı.
Microsoft’un tehdit istihbarat ekibi Mart ve Mayıs 2025 arasında bu stealer tarafından küresel olarak enfekte 394.000’den fazla Windows bilgisayar tespit ettiklerini bildirdiğinde Lumma’nın etkisinin ölçeği belirginleşti.
Bu büyük enfeksiyon oranı, ABD Adalet Bakanlığı, Europol ve Japonya’nın siber suç merkeziyle, Lumma’nın kontrol panelini ve altyapısını dünya çapında başarıyla ele geçirmesiyle koordineli uluslararası kolluk eylemine yol açtı, ancak tehdit aktörleri bu bozulmaya rağmen devam eden faaliyet belirtileri gösterdi.
Gelişmiş Kaçma ve Enfeksiyon Mekanizmaları
Lumma’nın teknik karmaşıklığı, kaçınma tespit ve analizine yönelik çok katmanlı yaklaşımında yatmaktadır.
Kötü amaçlı yazılım, ilk yükleyici olarak sunulan paketlenmiş bir .NET yürütülebilir dosyası ile başlayan üç aşamalı bir enfeksiyon işlemi kullanır.
.webp)
Bu ilk aşama, belirli bayt karşılaştırmaları yoluyla DOS ve PE başlık doğrulaması dahil kritik sistem kontrolleri gerçekleştirir:-
// Stage 1 validation checks
BitConverter.ToInt16(fileBytes, 0) == 23117 // MZ header check
BitConverter.ToUInt32(fileBytes, 60) == 17744 // PE header validationDaha sonra yükleyici, Windows API işlevini kullanmadan önce özel bir şifre çözme rutini kullanarak belirli bir bölümden (.code) ikinci aşama yükünü çıkarır ve şifreledi. CallWindowProcA Kontrolü şifre çözülmüş kabuk koduna aktarmak için bir yürütme vektörü olarak.
.webp)
İkinci aşama, gelişmiş süreç oyma tekniklerini gösterir, kendisinin askıya alınmış bir süreci oluşturur ve bellek içeriğini sistematik olarak değiştirir.
Kötü amaçlı yazılım, kritik Windows API’lerini işlem ortamı bloğunu (PEB) ayrıştırarak dinamik olarak çözer ve adres tablolarını dışlayarak güvenlik çözümlerini tetikleyebilecek statik içe aktarma bağımlılıklarından kaçınır.
.webp)
Belki de en önemlisi, Lumma üçüncü aşamasında “cennetin kapısı” tekniğini uygular ve sistem çağrılarını doğrudan yürütmek için 32 bit ve 64 bit yürütme modları arasında geçiş yapar.
.webp)
Bu sofistike yaklaşım, özellikle farklı kod segmentlerine ve doğrudan Syscall çağırma işlemlerine çok fazla atlamayı içerir. NtRaiseHardError Aldatıcı uyarı diyaloglarını görüntülemek için.
Kötü amaçlı yazılım, ambalajlama denemelerini algılamak için çalışma işlemi belleğinin 20 baytını orijinal dosyayla karşılaştıran bir kendi kendine enlem kontrolü de dahil olmak üzere birden fazla anti-analiz özelliği içerir.
Ayrıca, özellikle Rus olmayan sistemleri hedefleyen bir dil kontrolü gerçekleştirir. GetUserDefaultUILanguage ve sonucu Rusça Dil Tanımlayıcısına (0x419) karşılaştırarak, hedeflenen doğasını ve potansiyel ilişkilendirmeyi Rusça konuşan tehdit aktörlerine gösterdi.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin