Cyberkriminalitet og Lumma Stealer
Cyberkriminelle udnytter falske Captcha-prompt til at distribuere Lumma Stealer-malware, ifølge forskning fra cybersikkerhedsfirmaet DNSFilter. Malware blev først opdaget på en græsk bankwebsite, hvor prompten beder Windows-brugere om at kopiere og indsætte en tekst i dialogboksen Kør og derefter trykke på Enter.
Interaktion med Falske Captcha
DNSFilter rapporterer, at deres kunder interagerede med den falske Captcha 23 gange over en periode på tre dage, og at 17 % af de personer, der stødte på prompten, gennemførte de angivne trin, hvilket resulterede i et forsøg på at levere malware.
Hvad er Lumma Stealer?
DNSFilters Global Partner Evangelist, Mikey Pruitt, forklarede, at Lumma Stealer er en type malware, der søger efter legitimationsoplysninger og andre følsomme data på inficerede enheder.
“Lumma Stealer fejer straks systemet for alt, hvad det kan monetisere – browser-lagrede adgangskoder og cookies, gemte 2FA-tokens, data fra cryptocurrency wallets, legitimationsoplysninger til fjernadgang og endda password-manager-vaults,”
sagde han til Decrypt.
Økonomisk Motivation
Pruitt præciserede, at de kriminelle aktører bruger de stjålne data til forskellige formål, der alle typisk har økonomisk gevinst som mål, såsom identitetstyveri og adgang til online konti til finansiel tyveri eller svigagtige transaktioner, samt adgang til cryptocurrency wallets.
Malware-as-a-Service (MaaS)
Lumma Stealer er ikke kun malware, men et eksempel på Malware-as-a-Service (MaaS), som sikkerhedsfirmaer har rapporteret er ansvarlig for en stigning i malware-angreb i de seneste år. Ifølge ESETs malware-analytiker Jakub Tomanek udvikler operatørerne bag Lumma Stealer dens funktioner og forfiner dens evne til at undgå malware-detektion.
Truslen ved Lumma Stealer
Han sagde til Decrypt:
“Deres primære mål er at holde tjenesten operationel og profitabel, indsamle månedlige abonnementsgebyrer fra partnere – effektivt køre Lumma Stealer som en bæredygtig cyberkriminel virksomhed.”
På trods af beslaglæggelser af domæner relateret til Lumma Stealer, har rapporter afsløret, at malware er genopstået, med en analyse fra juli fra Trend Micro, der viser, at “antallet af målrettede konti stabilt vendte tilbage til deres sædvanlige niveauer” mellem juni og juli.
Økonomiske Tab og Udbredelse
Jones sagde til Decrypt, at omfanget af Lumma Stealer-udnyttelser har været alarming, med 2023, der har set estimerede tab på $36,5 millioner, samt 400.000 Windows-enheder inficeret på to måneder.
“Men den virkelige bekymring er ikke kun tallene – det er den flerlags monetiseringsstrategi,”
sagde han.
Konsekvenser af Infektion
Forstærkningen af truslen fra Lumma Stealer er det faktum, at stjålne data ofte føres direkte ind i “traffer teams,” som specialiserer sig i tyveri og videresalg af legitimationsoplysninger.
“Dette skaber en ødelæggende kaskadeeffekt, hvor en enkelt infektion kan føre til bankkonto-hijacking, cryptocurrency-tyveri og identitetssvindel, der fortsætter længe efter det oprindelige brud,”
tilføjede Jones.
Global Udbredelse
Mens Darktrace antydede en russisk oprindelse eller centrum for Lumma-relaterede udnyttelser, bemærkede DNSFilter, at de kriminelle aktører, der bruger malware-tjenesten, kunne operere fra flere territorier.
“Det er almindeligt, at sådanne ondsindede aktiviteter involverer enkeltpersoner eller grupper fra flere lande,”
sagde Pruitt.
