ESET и партнеры обезвредили крупнейшую инфраструктуру вредоноса Lumma Stealer

Stealer

В рамках глобальной операции по противодействию киберпреступности исследователи из ESET совместно с Microsoft, BitSight, Lumen, Cloudflare, CleanDNS и GMO Registry провели успешную кампанию по нейтрализации инфостилера Lumma Stealer, который распространялся по модели «вредонос как услуга» (MaaS). В результате скоординированных действий были выведены из строя все известные командные сервера (C&C), используемые злоумышленниками за последний год. Операция стала одним из самых масштабных мероприятий по борьбе с вредоносным ПО в 2025 году.

Описание

Lumma Stealer на протяжении двух лет оставался одним из самых опасных инструментов для кражи конфиденциальных данных, включая учетные записи, банковскую информацию, криптовалютные кошельки и учетные данные для доступа к корпоративным системам. Вредонос активно развивался, адаптируясь к методам защиты и внедряя новые способы обхода антивирусных решений. С июня 2024 по май 2025 года исследователи ESET зафиксировали 3 353 уникальных домена, использовавшихся в качестве C&C-серверов, что в среднем составляло около 74 новых доменов в неделю.

Аналитики ESET разработали автоматизированную систему обработки образцов вредоноса, что позволило не только отслеживать его активность, но и выявлять связи между различными атакующими группами. Lumma Stealer отличался высокой адаптивностью - его операторы регулярно меняли алгоритмы шифрования, сетевые протоколы и даже архитектуру инфраструктуры управления. Это делало вредонос особенно устойчивым к традиционным методам обнаружения.

Одной из ключевых особенностей бизнес-модели Lumma Stealer была его доступность в формате подписки. Злоумышленники предлагали аффилированным лицам тарифные планы стоимостью от 250 до 1000 долларов в месяц. Более дорогие варианты включали персонализацию сборок, инструменты для обхода защитных механизмов (evasion) и ранний доступ к новым функциональным возможностям. Распространение вредоноса происходило через фишинговые сайты с поддельными CAPTCHA, взломанное программное обеспечение, а также при помощи других загрузчиков, таких как SmokeLoader, DarkGate и Vidar.

С технической точки зрения Lumma Stealer представлял серьезную угрозу благодаря своей гибкости и сложным методам обфускации. Вредонос загружал динамические конфигурации в формате JSON, позволяющие злоумышленникам настраивать параметры кражи данных в зависимости от целей атаки. Для противодействия анализу использовались такие приемы, как косвенные переходы, шифрование строковых данных в стеке и хеширование API-вызовов. Кроме того, злоумышленники предусмотрели резервные каналы передачи данных - если C&C-серверы были недоступны, вредонос обращался к фальшивым профилям в Steam или Telegram-каналам.

Несмотря на успех операции, эксперты ESET предупреждают, что угроза полностью не устранена. Похищенные Lumma Stealer данные часто становятся основой для более масштабных атак, включая ransomware-кампании. Поэтому мониторинг активности злоумышленников и дальнейшее совершенствование методов противодействия остаются критически важными задачами для кибербезопасности.

Эта операция наглядно демонстрирует, что борьба с киберпреступностью требует не только технологических решений, но и тесного международного сотрудничества. Совместные действия компаний, специализирующихся на информационной безопасности, позволяют эффективно противостоять даже самым изощренным угрозам, снижая риски для пользователей и корпоративных сетей по всему миру.

Индикаторы компрометации

IPv4

  • 104.105.90.131
  • 104.21.112.1
  • 104.21.14.17
  • 104.21.16.1
  • 104.21.16.180
  • 104.21.19.156
  • 104.21.19.91
  • 104.21.20.106
  • 104.21.26.124
  • 104.21.32.1
  • 104.21.35.48
  • 104.21.39.95
  • 104.21.42.7
  • 104.21.44.84
  • 104.21.47.117
  • 104.21.47.141
  • 104.21.48.238
  • 104.21.49.80
  • 104.21.5.146
  • 104.21.64.84
  • 104.21.66.86
  • 104.21.67.155
  • 104.21.69.194
  • 104.21.72.121
  • 104.21.73.43
  • 104.21.80.1
  • 104.21.85.126
  • 104.21.86.54
  • 104.21.88.16
  • 104.21.90.226
  • 104.21.92.96
  • 104.21.93.246
  • 172.64.80.1
  • 172.67.134.100
  • 172.67.137.78
  • 172.67.141.43
  • 172.67.143.12
  • 172.67.146.181
  • 172.67.146.35
  • 172.67.146.64
  • 172.67.146.68
  • 172.67.147.123
  • 172.67.153.40
  • 172.67.158.159
  • 172.67.161.40
  • 172.67.166.231
  • 172.67.175.165
  • 172.67.176.107
  • 172.67.178.194
  • 172.67.178.7
  • 172.67.184.241
  • 172.67.189.210
  • 172.67.191.187
  • 172.67.192.247
  • 172.67.192.43
  • 172.67.192.52
  • 172.67.204.158
  • 172.67.204.20
  • 172.67.209.200
  • 172.67.213.85
  • 172.67.214.226
  • 172.67.215.114
  • 172.67.216.12
  • 172.67.221.214
  • 172.67.222.46
  • 188.114.96.0
  • 188.114.96.1
  • 188.114.96.2
  • 188.114.96.3
  • 188.114.97.0
  • 188.114.97.1
  • 188.114.97.2
  • 188.114.97.3
  • 188.114.97.4
  • 188.114.97.7
  • 188.114.97.9
  • 94.140.14.33

Domains

  • 1212tank.activitydmy.icu
  • achievenmtynwjq.shop
  • advennture.top
  • appgridn.live
  • bashfulacid.lat
  • bassizcellskz.shop
  • beerishint.sbs
  • beevasyeip.bond
  • bellflamre.click
  • bemuzzeki.sbs
  • bigmouthudiop.shop
  • broadecatez.bond
  • brownieyuz.sbs
  • byteplusx.digital
  • caffegclasiqwp.shop
  • callosallsaospz.shop
  • carrtychaintnyw.shop
  • celebratioopz.shop
  • changeaie.top
  • chickerkuso.shop
  • clarmodq.top
  • climatologfy.top
  • codxefusion.top
  • complaintsipzzx.shop
  • condedqpwqm.shop
  • cooperatvassquaidmew.xyz
  • crisisrottenyjs.xyz
  • curverpluch.lat
  • deadtrainingactioniw.xyz
  • deallerospfosu.shop
  • ducksringjk.sbs
  • earthsymphzony.today
  • encirelk.cyou
  • equatorf.run
  • evoliutwoqm.shop
  • exemplarou.sbs
  • exilepolsiy.sbs
  • experimentalideas.today
  • explainvees.sbs
  • exuberanttjdkwo.xyz
  • frizzettei.sbs
  • froytnewqowv.shop
  • gadgethgfub.icu
  • grandcommonyktsju.xyz
  • granystearr.bond
  • hardrwarehaven.run
  • hardswarehub.today
  • hemispherexz.top
  • indexterityszcoxp.shop
  • invinjurhey.sbs
  • isoplethui.sbs
  • laddyirekyi.sbs
  • languagedscie.shop
  • lariatedzugspd.shop
  • latitudert.live
  • liernessfornicsa.shop
  • liftally.top
  • locatedblsoqp.shop
  • longitudde.digital
  • lunoxorn.top
  • manyrestro.lat
  • mennyudosirso.shop
  • metallygaricwo.shop
  • milldymarskwom.shop
  • millyscroqwp.shop
  • nighetwhisper.top
  • opponnentduei.shop
  • outpointsozp.shop
  • piratetwrath.run
  • pixtreev.run
  • puredoffustow.shop
  • qualificationjdwko.xyz
  • quarrelepek.bond
  • quialitsuzoxm.shop
  • quietswtreams.life
  • quilltayle.live
  • quotamkdsdqo.shop
  • relalingj.sbs
  • repostebhu.sbs
  • rockemineu.bond
  • rottieud.sbs
  • salaccgfa.top
  • sectorecoo.live
  • shapestickyr.lat
  • shepherdlyopzc.shop
  • skynetxc.live
  • slipperyloo.lat
  • socialsscesforum.icu
  • sparkiob.digital
  • stagedchheiqwo.shop
  • stamppreewntnq.shop
  • starofliught.top
  • steamcommunity.com
  • suggestyuoz.biz
  • sweetcalcutangkdow.xyz
  • talkynicer.lat
  • tamedgeesy.sbs
  • targett.top
  • techmindzs.live
  • techspherxe.top
  • tentabatte.lat
  • thinkyyokej.sbs
  • toppyneedus.biz
  • traineiwnqo.shop
  • tranuqlekper.bond
  • travewlio.shop
  • tripfflux.world
  • unseaffarignsk.shop
  • upknittsoappz.shop
  • usseorganizedw.shop
  • wickedneatr.sbs
  • wordingnatturedowo.xyz
  • wordyfindy.lat
  • writerospzm.shop
  • zestmodp.top

SHA1

  • 070a001ac12139cc1238017d795a2b43ac52770d
  • 09734d99a278b3cf59fe82e96ee3019067af2ac5
  • 0d744811cf41606deb41596119ec7615ffeb0355
  • 1435d389c72a5855a5d6655d6299b4d7e78a0127
  • 1fd806b1a0425340704f435cbf916b748801a387
  • 2cccea9e1990d6bc7755ce5c3b9b0e4c9a8f0b59
  • 2e3d4c2a7c68de2dd31a8e0043d9cf7e7e20fde1
  • 5fa1edc42abb42d54d98fee0d282da453e200e99
  • 658550e697d9499db7821cbbbf59ffd39eb59053
  • 6f94cfaabb19491f2b8e719d74ad032d4beb3f29
  • 8f58c4a16717176dfe3cd531c7e41bef8cdf6cfe
  • c5d3278284666863d7587f1b31b06f407c592ac4
  • f4840c887caaff0d5e073600aec7c96099e32030
Комментарии: 0