Глобальная операция по нейтрализации вредоноса Lumma Stealer

Ключевые аспекты операции

ESET проанализировала десятки тысяч образцов Lumma Stealer, автоматизировав процесс извлечения критически важных данных, таких как адреса серверов управления и идентификаторы аффилированных лиц. Это позволило отслеживать активность вредоноса, кластеризовать атакующих и выявлять обновления в коде.

Lumma Stealer оставался одним из самых распространённых инфостилеров в течение последних двух лет, поражая пользователей по всему миру. Его операторы активно развивали функционал, регулярно обновляя алгоритмы шифрования строк, сетевой протокол и инфраструктуру. С июня 2024 по май 2025 года исследователи зафиксировали 3 353 уникальных домена C&C-серверов, в среднем по 74 новых еженедельно.

Бизнес-модель Lumma Stealer

Злоумышленники предлагали аффилированным лицам подписку на услуги с ежемесячной платой от 250 до 1000 долларов, предоставляя доступ к панели управления для загрузки похищенных данных. Дорогие тарифы включали кастомизацию сборок, инструменты для evasion-атак и ранний доступ к новым функциям.

Распространение Lumma Stealer осуществлялось через фишинговые страницы с поддельными CAPTCHA, взломанное ПО, а также с помощью других загрузчиков, таких как SmokeLoader, DarkGate и Vidar.

Технические особенности

• Динамическая конфигурация: Вредонос загружает с серверов JSON-файлы с параметрами для кражи данных из браузеров, менеджеров паролей, криптокошельков и других приложений.
• Методы обфускации: Lumma Stealer использует сложные техники против анализа, включая косвенные переходы, шифрование строк в стеке и хеширование API-вызовов.
• Резервные каналы связи: При недоступности C&C-серверов вредонос обращается к резервным источникам — фальшивым профилям Steam и Telegram-каналам.

Результаты операции

Глобальное вмешательство значительно затруднило работу инфраструктуры Lumma Stealer, однако эксперты ESET подчёркивают необходимость дальнейшего мониторинга. Похищенные данные часто становятся отправной точкой для более серьёзных атак, включая ransomware, поэтому нейтрализация подобных угроз остаётся приоритетной задачей.

IPv4

• 104.105.90.131
• 104.21.112.1
• 104.21.14.17
• 104.21.16.1
• 104.21.16.180
• 104.21.19.156
• 104.21.19.91
• 104.21.20.106
• 104.21.26.124
• 104.21.32.1
• 104.21.35.48
• 104.21.39.95
• 104.21.42.7
• 104.21.44.84
• 104.21.47.117
• 104.21.47.141
• 104.21.48.238
• 104.21.49.80
• 104.21.5.146
• 104.21.64.84
• 104.21.66.86
• 104.21.67.155
• 104.21.69.194
• 104.21.72.121
• 104.21.73.43
• 104.21.80.1
• 104.21.85.126
• 104.21.86.54
• 104.21.88.16
• 104.21.90.226
• 104.21.92.96
• 104.21.93.246
• 172.64.80.1
• 172.67.134.100
• 172.67.137.78
• 172.67.141.43
• 172.67.143.12
• 172.67.146.181
• 172.67.146.35
• 172.67.146.64
• 172.67.146.68
• 172.67.147.123
• 172.67.153.40
• 172.67.158.159
• 172.67.161.40
• 172.67.166.231
• 172.67.175.165
• 172.67.176.107
• 172.67.178.194
• 172.67.178.7
• 172.67.184.241
• 172.67.189.210
• 172.67.191.187
• 172.67.192.247
• 172.67.192.43
• 172.67.192.52
• 172.67.204.158
• 172.67.204.20
• 172.67.209.200
• 172.67.213.85
• 172.67.214.226
• 172.67.215.114
• 172.67.216.12
• 172.67.221.214
• 172.67.222.46
• 188.114.96.0
• 188.114.96.1
• 188.114.96.2
• 188.114.96.3
• 188.114.97.0
• 188.114.97.1
• 188.114.97.2
• 188.114.97.3
• 188.114.97.4
• 188.114.97.7
• 188.114.97.9
• 94.140.14.33

Domains

• 1212tank.activitydmy.icu
• achievenmtynwjq.shop
• advennture.top
• appgridn.live
• bashfulacid.lat
• bassizcellskz.shop
• beerishint.sbs
• beevasyeip.bond
• bellflamre.click
• bemuzzeki.sbs
• bigmouthudiop.shop
• broadecatez.bond
• brownieyuz.sbs
• byteplusx.digital
• caffegclasiqwp.shop
• callosallsaospz.shop
• carrtychaintnyw.shop
• celebratioopz.shop
• changeaie.top
• chickerkuso.shop
• clarmodq.top
• climatologfy.top
• codxefusion.top
• complaintsipzzx.shop
• condedqpwqm.shop
• cooperatvassquaidmew.xyz
• crisisrottenyjs.xyz
• curverpluch.lat
• deadtrainingactioniw.xyz
• deallerospfosu.shop
• ducksringjk.sbs
• earthsymphzony.today
• encirelk.cyou
• equatorf.run
• evoliutwoqm.shop
• exemplarou.sbs
• exilepolsiy.sbs
• experimentalideas.today
• explainvees.sbs
• exuberanttjdkwo.xyz
• frizzettei.sbs
• froytnewqowv.shop
• gadgethgfub.icu
• grandcommonyktsju.xyz
• granystearr.bond
• hardrwarehaven.run
• hardswarehub.today
• hemispherexz.top
• indexterityszcoxp.shop
• invinjurhey.sbs
• isoplethui.sbs
• laddyirekyi.sbs
• languagedscie.shop
• lariatedzugspd.shop
• latitudert.live
• liernessfornicsa.shop
• liftally.top
• locatedblsoqp.shop
• longitudde.digital
• lunoxorn.top
• manyrestro.lat
• mennyudosirso.shop
• metallygaricwo.shop
• milldymarskwom.shop
• millyscroqwp.shop
• nighetwhisper.top
• opponnentduei.shop
• outpointsozp.shop
• piratetwrath.run
• pixtreev.run
• puredoffustow.shop
• qualificationjdwko.xyz
• quarrelepek.bond
• quialitsuzoxm.shop
• quietswtreams.life
• quilltayle.live
• quotamkdsdqo.shop
• relalingj.sbs
• repostebhu.sbs
• rockemineu.bond
• rottieud.sbs
• salaccgfa.top
• sectorecoo.live
• shapestickyr.lat
• shepherdlyopzc.shop
• skynetxc.live
• slipperyloo.lat
• socialsscesforum.icu
• sparkiob.digital
• stagedchheiqwo.shop
• stamppreewntnq.shop
• starofliught.top
• steamcommunity.com
• suggestyuoz.biz
• sweetcalcutangkdow.xyz
• talkynicer.lat
• tamedgeesy.sbs
• targett.top
• techmindzs.live
• techspherxe.top
• tentabatte.lat
• thinkyyokej.sbs
• toppyneedus.biz
• traineiwnqo.shop
• tranuqlekper.bond
• travewlio.shop
• tripfflux.world
• unseaffarignsk.shop
• upknittsoappz.shop
• usseorganizedw.shop
• wickedneatr.sbs
• wordingnatturedowo.xyz
• wordyfindy.lat
• writerospzm.shop
• zestmodp.top

SHA1

• 070a001ac12139cc1238017d795a2b43ac52770d
• 09734d99a278b3cf59fe82e96ee3019067af2ac5
• 0d744811cf41606deb41596119ec7615ffeb0355
• 1435d389c72a5855a5d6655d6299b4d7e78a0127
• 1fd806b1a0425340704f435cbf916b748801a387
• 2cccea9e1990d6bc7755ce5c3b9b0e4c9a8f0b59
• 2e3d4c2a7c68de2dd31a8e0043d9cf7e7e20fde1
• 5fa1edc42abb42d54d98fee0d282da453e200e99
• 658550e697d9499db7821cbbbf59ffd39eb59053
• 6f94cfaabb19491f2b8e719d74ad032d4beb3f29
• 8f58c4a16717176dfe3cd531c7e41bef8cdf6cfe
• c5d3278284666863d7587f1b31b06f407c592ac4
• f4840c887caaff0d5e073600aec7c96099e32030