Информационный стилер Lumma возобновляет активность с новой методикой браузерного фингерпринтинга

Изначально раскрытие личностей ключевых участников проекта привело к заметному сокращению операций Lumma Stealer. Многие пользователи перешли на конкурирующие платформы Vidar и StealC, создавая существенные операционные трудности для разработчиков. Однако последние данные телеметрии указывают на стратегическую адаптацию. Злоумышленники не только возобновили активность, но и значительно усовершенствовали тактику управления.

Основным нововведением стало использование браузерного фингерпринтинга как дополнительного компонента инфраструктуры командования и управления. Данная методика предполагает сбор системной информации через JavaScript-полезную нагрузку с последующей передачей данных на управляющий сервер. Технология позволяет злоумышленникам детально профилировать целевую среду, оценивая аппаратные характеристики, сетевые параметры и конфигурацию браузера.

При детальном анализе образцов выявлен усложненный механизм внедрения. Lumma Stealer использует технику удаленного внедрения потоков из процесса MicrosoftEdgeUpdate.exe в легитимные процессы Chrome. Такой подход обеспечивает выполнение вредоносного кода в контексте доверенного приложения, что эффективно обходит многие системы безопасности. Сетевой трафик маскируется под обычную активность браузера, значительно усложняя обнаружение.

Сетевая инфраструктура претерпела структурные изменения. Помимо традиционных протоколов управления, добавлен специализированный эндпоинт /api/set_agent, принимающий параметры идентификации и аутентификации. При этом сохраняется базовая структура коммуникации, включая передачу идентификаторов кампаний и функциональных возможностей. Такой гибридный подход демонстрирует стратегию постепенного усовершенствования без отказа от проверенных методик.

Собранные данные фингерпринтинга включают комплексные системные характеристики. Анализируются параметры WebGL и Canvas для создания уникальных идентификаторов, определяются возможности аудиосистемы через Audio Context, собираются данные сетевых интерфейсов через WebRTC. Дополнительно фиксируются технические спецификации оборудования, разрешение экрана, установленные шрифты и активные плагины. Вся информация сериализуется в JSON-формат и передается на сервер через POST-запросы.

Операционные преимущества новой методики многогранны. Прежде всего, детальное профилирование позволяет идентифицировать виртуальные среды и песочницы, используемые для анализа вредоносного ПО. Кроме того, операторы получают возможность селективного развертывания дополнительных полезных нагрузок в зависимости от характеристик целевой системы. Совмещение новых возможностей с проверенными протоколами управления обеспечивает преемственность операций при одновременном усложении обнаружения.

На подпольных форумах наблюдается снижение видимости представителей Lumma Stealer, что свидетельствует о сознательном сокращении публичной активности. При этом продолжается торговля компрометирующими данными, а также фиксируются случаи мошенничества через телеграм-каналы. Инфраструктурные изменения включают использование устаревших доменов, включая заблокированные Microsoft, что указывает на определенную деградацию управления.

Эксперты оценивают с средней степенью уверенности, что разработчики Lumma Stealer перешли к более осторожной операционной модели. Вероятно, они минимизируют публичное присутствие для избежания внимания правоохранительных органов, сохраняя базовую функциональность. Такой подход свидетельствует о стратегическом перегруппировании, а не о полном прекращении деятельности.

Для противодействия обновленной угрозе специалисты по безопасности рекомендуют усилить осведомленность о фишинговых атаках, ограничить права установки программного обеспечения, внедрить многофакторную аутентификацию. Особое внимание следует уделять подозрительным CAPTCHA-запросам, требующим выполнения команд, и контролю за онлайн-рекламой.

Возрождение Lumma Stealer с усовершенствованными возможностями демонстрирует адаптивность современных киберпреступных экосистем. Даже после существенных операционных потрясений разработчики способны не только восстановить функциональность, но и интегрировать передовые техники обхода защиты. Это подчеркивает необходимость постоянного совершенствования мер безопасности и мониторинга развивающихся угроз.

Domains

• jamelik.asia
• pabuloa.asia

SHA256

• 516cd47d091622b3eb256d25b984a5ede0d5dd9540e342a28e199082395e65e5