Bazı Infostealer operatörleri bu çalınan verileri paketler ve satar. Ancak giderek daha fazla tehlikeye atılan ayrıntılar, bilgisayar korsanlarının daha fazla saldırı başlatması için bir kapı görevi gördü ve onlara çevrimiçi hesaplara ve milyar dolarlık şirketlerin ağlarına erişmek için gereken ayrıntıları sağladı.
Apple cihaz odaklı güvenlik firması Doubleyou CEO’su Patrick Wardle, “Infostealers’ın sadece yakalama ve git kötü amaçlı yazılımdan daha fazlası haline geldiği açık” diyor. “Birçok kampanyada gerçekten ilk aşama olarak hareket ederler, kimlik bilgileri, erişim belirteçleri ve diğer dayanak sağlayan veriler, daha sonra yanal hareket, casusluk veya fidye yazılımı gibi daha geleneksel, yüksek etkili saldırılar başlatmak için kullanılır.”
FBI ve CISA’ya göre, Lumma Infostealer ilk olarak 2022’de Rusça siber suç forumlarında ortaya çıktı. O zamandan beri geliştiricileri yeteneklerini yükseltti ve yazılımın birden fazla farklı sürümünü yayınladı.
Örneğin, 2023’ten beri, güvenlik firması Trellix’in bulgularına göre AI’yi kötü amaçlı yazılım platformuna entegre etmek için çalışıyorlar. Saldırganlar, çoğu saldırgan için daha az değerli olan “bot” hesaplarının tanımlanması ve ayrılması da dahil olmak üzere, infosterers tarafından toplanan büyük miktarlarda ham veriyi temizlemede yer alan bazı çalışmaları otomatikleştirmek için bu özellikleri eklemek istiyor.
Lumma’nın bir yöneticisi 404media ve Wired’e geçen yıl hem deneyimli bilgisayar korsanlarını hem de yeni siber suçluları yazılımlarını kullanmaya teşvik ettiklerini söyledi. “Bu bize iyi gelir getiriyor,” dedi yönetici, çalınan giriş verilerinin yeniden satışına atıfta bulundu.
Microsoft, Lumma’nın arkasındaki ana geliştiricinin çevrimiçi “Shamel” nin yanında olduğunu ve Rusya’da bulunduğunu söylüyor.
Microsoft’tan Masada Çarşamba günü yaptığı açıklamada, “Shamel, Telegram ve diğer Rusça sohbet forumları aracılığıyla Lumma için farklı hizmet katmanlarını pazarlıyor. “Bir siber suçlu alımlarının hangi hizmete bağlı olarak, kötü amaçlı yazılım sürümlerini oluşturabilir, gizlemek ve dağıtmak için araçlar ekleyebilir ve çalıntı bilgileri çevrimiçi bir portal aracılığıyla izleyebilirler.”
Kela’dan Kivilevich, yayından kaldırmaya giden günlerde, bazı siber suçluların Lumma ile ilgili sorunlar olduğu forumlarda şikayet etmeye başladığını söylüyor. Hatta kötü amaçlı yazılım platformunun bir kolluk operasyonunda hedeflendiğini tahmin ettiler.
Kivilevich, “Gördüğümüze dayanarak, kredi kartı sahtekarlığına katılan aktörler, ilk erişim satışları, kripto para birimi hırsızlığı ve daha fazlası gibi Lumma’yı kullandıklarını kabul eden çok çeşitli siber suçlular var” diyor.
Diğer araçların yanı sıra, Caesars Entertainment, MGM Resorts International ve diğer kurbanlara saldıran dağınık örümcek hackleme grubu, Lumma Stealer kullanılarak tespit edildi. Bu arada, TechCrunch’tan bir rapora göre, Lumma kötü amaçlı yazılımların Aralık 2024’teki eğitim teknolojisi firması Powerschool’un hackine kadar 70 milyondan fazla kaydın çalındığı iddia edildi.
“Şimdi infostalers’ın sadece teknik olarak gelişmediğini değil, aynı zamanda operasyonel olarak daha merkezi bir rol oynadığını görüyoruz” diyor DoubleYou’dan Wardle. “Ulus-devlet aktörleri bile onları geliştiriyor ve kullanıyor.”
Güvenlik firması Flashpoint’te analiz ve araştırma direktörü Ian Gray, infostalers’ın siber suçluların kullanacağı tek bir araç olsa da, yaygınlıklarının siber suçluların izlerini gizlemesini kolaylaştırabileceğini söylüyor. Gray, “Gelişmiş tehdit aktör grupları bile infostealer günlüklerinden yararlanıyor ya da sofistike taktikler, teknikler ve prosedürler (TTP’ler) yakma riskiyle karşı karşıya” diyor.
Lumma, kolluk kuvvetleri tarafından hedeflenen ilk Infostealer değil. Geçen yıl Ekim ayında, Hollanda Ulusal Polisi, uluslararası ortaklarla birlikte, Redline ve Metastealer kötü amaçlı yazılımlarla bağlantılı altyapıyı ve ABD Adalet Bakanlığı’nın Redline Infosterer’ın iddia edilen geliştiricileri ve yöneticilerinden biri olan Maxim Rudometov’a karşı suçsuz suçlamaları düşürdü.
Uluslararası baskılara rağmen, infostalers saldırganların terk etmesi için çok yararlı ve etkili olduğu kanıtlanmıştır. Flashpoint’in Gray’in söylediği gibi, “peyzaj nihayetinde savunmaların evrimi nedeniyle değişse bile, son birkaç yılda infostalerlerin artan önemi, öngörülebilir gelecek için kalacaklarını gösteriyor. Onların kullanımı patladı.”