В рамках глобальной операции по противодействию киберпреступности исследователи из ESET совместно с Microsoft, BitSight, Lumen, Cloudflare, CleanDNS и GMO Registry провели успешную кампанию по нейтрализации инфостилера Lumma Stealer, который распространялся по модели «вредонос как услуга» (MaaS). В результате скоординированных действий были выведены из строя все известные командные сервера (C&C), используемые злоумышленниками за последний год. Операция стала одним из самых масштабных мероприятий по борьбе с вредоносным ПО в 2025 году.
Описание
Lumma Stealer на протяжении двух лет оставался одним из самых опасных инструментов для кражи конфиденциальных данных, включая учетные записи, банковскую информацию, криптовалютные кошельки и учетные данные для доступа к корпоративным системам. Вредонос активно развивался, адаптируясь к методам защиты и внедряя новые способы обхода антивирусных решений. С июня 2024 по май 2025 года исследователи ESET зафиксировали 3 353 уникальных домена, использовавшихся в качестве C&C-серверов, что в среднем составляло около 74 новых доменов в неделю.
Аналитики ESET разработали автоматизированную систему обработки образцов вредоноса, что позволило не только отслеживать его активность, но и выявлять связи между различными атакующими группами. Lumma Stealer отличался высокой адаптивностью - его операторы регулярно меняли алгоритмы шифрования, сетевые протоколы и даже архитектуру инфраструктуры управления. Это делало вредонос особенно устойчивым к традиционным методам обнаружения.
Одной из ключевых особенностей бизнес-модели Lumma Stealer была его доступность в формате подписки. Злоумышленники предлагали аффилированным лицам тарифные планы стоимостью от 250 до 1000 долларов в месяц. Более дорогие варианты включали персонализацию сборок, инструменты для обхода защитных механизмов (evasion) и ранний доступ к новым функциональным возможностям. Распространение вредоноса происходило через фишинговые сайты с поддельными CAPTCHA, взломанное программное обеспечение, а также при помощи других загрузчиков, таких как SmokeLoader, DarkGate и Vidar.
С технической точки зрения Lumma Stealer представлял серьезную угрозу благодаря своей гибкости и сложным методам обфускации. Вредонос загружал динамические конфигурации в формате JSON, позволяющие злоумышленникам настраивать параметры кражи данных в зависимости от целей атаки. Для противодействия анализу использовались такие приемы, как косвенные переходы, шифрование строковых данных в стеке и хеширование API-вызовов. Кроме того, злоумышленники предусмотрели резервные каналы передачи данных - если C&C-серверы были недоступны, вредонос обращался к фальшивым профилям в Steam или Telegram-каналам.
Несмотря на успех операции, эксперты ESET предупреждают, что угроза полностью не устранена. Похищенные Lumma Stealer данные часто становятся основой для более масштабных атак, включая ransomware-кампании. Поэтому мониторинг активности злоумышленников и дальнейшее совершенствование методов противодействия остаются критически важными задачами для кибербезопасности.
Эта операция наглядно демонстрирует, что борьба с киберпреступностью требует не только технологических решений, но и тесного международного сотрудничества. Совместные действия компаний, специализирующихся на информационной безопасности, позволяют эффективно противостоять даже самым изощренным угрозам, снижая риски для пользователей и корпоративных сетей по всему миру.
Индикаторы компрометации
IPv4
- 104.105.90.131
- 104.21.112.1
- 104.21.14.17
- 104.21.16.1
- 104.21.16.180
- 104.21.19.156
- 104.21.19.91
- 104.21.20.106
- 104.21.26.124
- 104.21.32.1
- 104.21.35.48
- 104.21.39.95
- 104.21.42.7
- 104.21.44.84
- 104.21.47.117
- 104.21.47.141
- 104.21.48.238
- 104.21.49.80
- 104.21.5.146
- 104.21.64.84
- 104.21.66.86
- 104.21.67.155
- 104.21.69.194
- 104.21.72.121
- 104.21.73.43
- 104.21.80.1
- 104.21.85.126
- 104.21.86.54
- 104.21.88.16
- 104.21.90.226
- 104.21.92.96
- 104.21.93.246
- 172.64.80.1
- 172.67.134.100
- 172.67.137.78
- 172.67.141.43
- 172.67.143.12
- 172.67.146.181
- 172.67.146.35
- 172.67.146.64
- 172.67.146.68
- 172.67.147.123
- 172.67.153.40
- 172.67.158.159
- 172.67.161.40
- 172.67.166.231
- 172.67.175.165
- 172.67.176.107
- 172.67.178.194
- 172.67.178.7
- 172.67.184.241
- 172.67.189.210
- 172.67.191.187
- 172.67.192.247
- 172.67.192.43
- 172.67.192.52
- 172.67.204.158
- 172.67.204.20
- 172.67.209.200
- 172.67.213.85
- 172.67.214.226
- 172.67.215.114
- 172.67.216.12
- 172.67.221.214
- 172.67.222.46
- 188.114.96.0
- 188.114.96.1
- 188.114.96.2
- 188.114.96.3
- 188.114.97.0
- 188.114.97.1
- 188.114.97.2
- 188.114.97.3
- 188.114.97.4
- 188.114.97.7
- 188.114.97.9
- 94.140.14.33
Domains
- 1212tank.activitydmy.icu
- achievenmtynwjq.shop
- advennture.top
- appgridn.live
- bashfulacid.lat
- bassizcellskz.shop
- beerishint.sbs
- beevasyeip.bond
- bellflamre.click
- bemuzzeki.sbs
- bigmouthudiop.shop
- broadecatez.bond
- brownieyuz.sbs
- byteplusx.digital
- caffegclasiqwp.shop
- callosallsaospz.shop
- carrtychaintnyw.shop
- celebratioopz.shop
- changeaie.top
- chickerkuso.shop
- clarmodq.top
- climatologfy.top
- codxefusion.top
- complaintsipzzx.shop
- condedqpwqm.shop
- cooperatvassquaidmew.xyz
- crisisrottenyjs.xyz
- curverpluch.lat
- deadtrainingactioniw.xyz
- deallerospfosu.shop
- ducksringjk.sbs
- earthsymphzony.today
- encirelk.cyou
- equatorf.run
- evoliutwoqm.shop
- exemplarou.sbs
- exilepolsiy.sbs
- experimentalideas.today
- explainvees.sbs
- exuberanttjdkwo.xyz
- frizzettei.sbs
- froytnewqowv.shop
- gadgethgfub.icu
- grandcommonyktsju.xyz
- granystearr.bond
- hardrwarehaven.run
- hardswarehub.today
- hemispherexz.top
- indexterityszcoxp.shop
- invinjurhey.sbs
- isoplethui.sbs
- laddyirekyi.sbs
- languagedscie.shop
- lariatedzugspd.shop
- latitudert.live
- liernessfornicsa.shop
- liftally.top
- locatedblsoqp.shop
- longitudde.digital
- lunoxorn.top
- manyrestro.lat
- mennyudosirso.shop
- metallygaricwo.shop
- milldymarskwom.shop
- millyscroqwp.shop
- nighetwhisper.top
- opponnentduei.shop
- outpointsozp.shop
- piratetwrath.run
- pixtreev.run
- puredoffustow.shop
- qualificationjdwko.xyz
- quarrelepek.bond
- quialitsuzoxm.shop
- quietswtreams.life
- quilltayle.live
- quotamkdsdqo.shop
- relalingj.sbs
- repostebhu.sbs
- rockemineu.bond
- rottieud.sbs
- salaccgfa.top
- sectorecoo.live
- shapestickyr.lat
- shepherdlyopzc.shop
- skynetxc.live
- slipperyloo.lat
- socialsscesforum.icu
- sparkiob.digital
- stagedchheiqwo.shop
- stamppreewntnq.shop
- starofliught.top
- steamcommunity.com
- suggestyuoz.biz
- sweetcalcutangkdow.xyz
- talkynicer.lat
- tamedgeesy.sbs
- targett.top
- techmindzs.live
- techspherxe.top
- tentabatte.lat
- thinkyyokej.sbs
- toppyneedus.biz
- traineiwnqo.shop
- tranuqlekper.bond
- travewlio.shop
- tripfflux.world
- unseaffarignsk.shop
- upknittsoappz.shop
- usseorganizedw.shop
- wickedneatr.sbs
- wordingnatturedowo.xyz
- wordyfindy.lat
- writerospzm.shop
- zestmodp.top
SHA1
- 070a001ac12139cc1238017d795a2b43ac52770d
- 09734d99a278b3cf59fe82e96ee3019067af2ac5
- 0d744811cf41606deb41596119ec7615ffeb0355
- 1435d389c72a5855a5d6655d6299b4d7e78a0127
- 1fd806b1a0425340704f435cbf916b748801a387
- 2cccea9e1990d6bc7755ce5c3b9b0e4c9a8f0b59
- 2e3d4c2a7c68de2dd31a8e0043d9cf7e7e20fde1
- 5fa1edc42abb42d54d98fee0d282da453e200e99
- 658550e697d9499db7821cbbbf59ffd39eb59053
- 6f94cfaabb19491f2b8e719d74ad032d4beb3f29
- 8f58c4a16717176dfe3cd531c7e41bef8cdf6cfe
- c5d3278284666863d7587f1b31b06f407c592ac4
- f4840c887caaff0d5e073600aec7c96099e32030