Mayıs ayının Lumma Stealer altyapısının çokuluslu yayından kaldırılmasının ardından aldatmacanın aldatıcı olduğunu kanıtladı.
Haftalar içinde, telemetri tekrar yeni komuta ve kontrol (C2) işaretleriyle aydınlandı ve bilgi çalan kötü amaçlı yazılımların kurban tabanını genişletirken daha sessiz kanallar için açık pazar tanıtımını değiştirdiğini ortaya koydu.
Yeni enkarnasyonunda, Lumma çoğunlukla aranan yazılımlar için sahte montajcıların içinde paketlenir, “çatlaklar”, “Keygens” arayan kullanıcıları ya da vaat edilen ücretsiz araç yerine Truva atını indirmek için oyun hileleri çeker.
.webp)
Bir kurban bu hileli portallardan birine indiğinde, JavaScript tarayıcıyı, ana bilgisayarı parmak izleyen bir trafik dağıtım sistemi aracılığıyla sessizce yönlendirir.
Donanım, yerel ayar ve güvenlik kontrolleri karlı görünüyorsa, site, gündelik denetimden kaçarken Bootstrap Lumma Stealer’a tasarlanmış zararsız görünümlü bir yürütülebilir veya PowerShell komut dosyası içeren şifre korumalı bir fermuar sunar.
Trend Micro araştırmacıları, Haziran ve Temmuz telemetrisinin, hem kötü amaçlı yazılımların esnekliğini hem de hala korsan uygulamalar için avlanan kullanıcıların ölçeğinin altını çizen, hedeflenen hesapların ön kaldırma öncesi hacimlerine bir geri tepme gösterdiğini belirtti.
Trend mikro analistleri ayrıca GitHub ve sosyal platformlarda paralel bir itme tanımladılar: otomatik olarak oluşturulan depolar “Hwid Foofers” veya “Photoshop 2025 Full Crack” reklamını yapıyor, ancak tek sürüm varlığı Lumma yüküdür.
.webp)
YouTube videoları ve Facebook gönderileri, izleyicilere kurulumdan önce antivirüsü devre dışı bırakmalarını söyleyen bu bağlantıları artırıyor-saldırganların lehine oranları daha da istifleyen bir sosyal mühendislik dokunuşu.
Sonuçlar, bir zamanlar yürütüldüğü gibi, Lumma tarayıcı çerezlerini, kripto-cüzdan dosyalarını ve bulut depolama oturumu belirteçlerini hasat eder, ardından bunları şifreli bir C2 kanalı üzerinden püskürtür.
Çok faktörlü kimlik doğrulama ile korunan kurumsal hesaplar bağışık değildir; Çalınan çerezler genellikle giriş istemlerini atar ve davetsiz misafirlere e-posta, işbirliği portalları veya kaynak kodu depolara derhal erişim sağlar.
Enfeksiyon Mekanizması: Yalnızca Hafıza Yük Yüklesi Teslimat
Mevcut kampanyalar, disk eserlerine ayarlanmış uç nokta algılama mantığını hayal kırıklığına uğratan dosyasız bir yaklaşımı desteklemektedir.
ClickFix tarzı sürücülerde, tehlikeye atılan web siteleri, sahte bir captcha sayfası için normal içeriklerini değiştirir.
Kurbanlara basmaları söyleniyor Win + R Ve tek satırlık bir PowerShell komutunu çalıştırın, farkında olmadan, gömülü bir .NET montajının-lumma’nın kendisinin-bir xor şifresini gerçekleştiren bir bellek içi yükleyici ortaya çıkarır-daha sonra dosya sistemine dokunmadan giriş noktasını çağırır.
.webp)
Yoğunlaştırılmış bir alıntı çekirdek rutini gösterir:-
$xorKey = [Convert]::FromBase64String("Q0YwbG5IaUY4YmpEdw==")
$enc = 0x0E,0x10,0xA0,0x6C,0x60,0x48,0x69,0x46
$buf = New-Object byte[] $enc.Length
for ($i=0;$i -lt $enc.Length;$i++){
$buf[$i] = $enc[$i] -bxor $xorKey[$i % $xorKey.Length]
}
[Reflection.Assembly]::Load($buf).EntryPoint.Invoke($null,@())Hiçbir yürütülebilir bırakılmadığından, karma tabanlı imzalara dayanan geleneksel anti-virüs tarayıcıları nadiren tetiklenir.
Ağ İncelemesi Çok Daha İyi Farklar: C2 Alanları Selectel gibi daha az bilinen Rus barındırma sağlayıcılarında döner, TLS kamuflajının tadını çıkarırken daha önceki Cloudflare yayından kaldırma vektörlerini ortadan kaldırır.
Nihayetinde, Lumma’nın yeniden canlanması, tedarik zinciri tarzı kötü niyetli ve bellekte yerleşik yükleyicilerin, altyapı nöbetlerini süpürdükten sonra bile bir Maas operasyonunu canlı tutabileceğini gösteriyor.
Güvenlik ekipleri, Lumma Stealer’ın bu kadar ustaca sömürdüğü pencereyi kapatmayı umuyorlarsa, şüpheli çocuk süreci oluşturmayı ve giden TLS işaretlerini işaretli çocuk süreç oluşturma ve giden TLS işaretlerini işaretleyen davranışsal telemetri ile birleştirmelidir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.