В мае 2025 года правоохранительные органы провели масштабную операцию против инфраструктуры Lumma Stealer - вредоносного ПО, специализирующегося на краже конфиденциальных данных. Было заблокировано более 2,3 тыс. доменов, используемых злоумышленниками, а серверы управления и распространения этого вредоноса были отключены. Однако, как показывает последний анализ Trend Micro, уже спустя несколько недель после операции активность Lumma Stealer начала восстанавливаться, причем угроза стала еще более скрытной и изощренной.
Описание
Возвращение угрозы
Lumma Stealer - это троянец-стилер, который активно распространяется в рамках модели Malware-as-a-Service (MaaS). Это означает, что даже начинающие киберпреступники могут арендовать этот инструмент для атак, не обладая глубокими техническими знаниями. После майской кампании по его обезвреживанию активность Lumma Stealer временно снизилась, но уже в июне-июле 2025 года количество зараженных устройств и целевых атак вернулось к прежнему уровню.
Более того, разработчики Lumma Stealer, принадлежащие к группе Trend Micro под названием "Water Kurita", не только восстановили инфраструктуру, но и модифицировали методы распространения, чтобы избежать повторных арестов. Они отказались от публичных форумов и перешли на более скрытые каналы, включая злоупотребление GitHub, фишинговые CAPTCHA-сайты и социальные сети.
Как распространяется Lumma Stealer сегодня?
1. Поддельные "кряки" и ключи активации
Один из самых популярных способов заражения - распространение вредоноса под видом бесплатных версий платных программ или генераторов лицензионных ключей. Жертвы, ищущие взломанное ПО, попадают на сайты, где вместо ожидаемого софта скачивают Lumma Stealer. В некоторых случаях файлы защищены паролем, что усложняет их автоматический анализ антивирусами.
2. Обман через фишинговые CAPTCHA (ClickFix)
Еще один распространенный метод - внедрение вредоносного JavaScript на взломанных сайтах. Пользователям показывают поддельную страницу CAPTCHA, предлагая ввести команду в Windows Run (Win+R). Эта команда запускает PowerShell-скрипт, который загружает и исполняет вредоносный код прямо в памяти, минуя сохранение на диск, что затрудняет детектирование.
3. Злоупотребление GitHub
Злоумышленники массово создают аккаунты на GitHub, загружая репозитории с якобы полезным софтом - читами для игр, взломанными редакторами и другими приложениями. В действительности эти файлы содержат Lumma Stealer. Часто такие репозитории сопровождаются автоматически сгенерированными описаниями, что делает их более правдоподобными.
4. Социальные сети и YouTube
На платформах вроде Facebook и YouTube публикуются посты и видео с предложениями скачать "взломанные" программы. Ссылки ведут на поддельные страницы, размещенные даже на легитимных сервисах вроде Google Sites, что повышает доверие жертв.
Вывод
История Lumma Stealer демонстрирует, что даже успешные операции правоохранителей не гарантируют полного уничтожения угрозы. Киберпреступники быстро адаптируются, меняют инфраструктуру и методы атак. Единственный эффективный способ защиты - сочетание технических мер, осведомленности пользователей и постоянного мониторинга угроз.
Компании, которые хотят минимизировать риски, должны не только полагаться на антивирусы, но и внедрять комплексные решения для анализа поведения процессов и сетевой активности. В противном случае даже временные успехи в борьбе с вредоносами могут оказаться лишь передышкой перед новой волной атак.
Индикаторы компрометации
URLs
- http://cbakk.xyz/ajng
- http://cexpxg.xyz/airq
- http://citellcagt.top/gjtu
- http://diecam.top/laur
- http://dkkig.xyz/xjau
- http://dzyzb.xyz/anby
- http://escczlv.top/bufi
- http://github.com/BayMushroomcow/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/caramm1t/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/carr1stomh/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/charsavve/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/classtneh1/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/emrillate/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/f1scow/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/ferrn1la/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/ggarl1os/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/h1ttmela/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/k0ntarrs/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/k1elen1hs/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/Kitomofu/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/l1cmahnne/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/lesth1alds/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/nallerth1/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/r1mslicks/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/r1thessl1/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://github.com/RAVV199/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- http://github.com/S0raEmptysky/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- http://korxddl.top/qidz
- http://lnofi.xyz/qoei
- http://localixbiw.top/zlpa
- http://lodib.xyz/towq
- http://narrathfpt.top/tekq
- http://nbcsfar.xyz/tpxz
- http://plapwf.top/agnb
- http://raw.githubusercontent.com/spenddar1/Temp-Spoofer-LifeTime/refs/heads/main/TempSpoofer.exe
- http://reckdp.pics/xiar
- http://ryxpq.xyz/tpaz
- http://sqgzl.xyz/taoa
- http://stochalyqp.xyz/alfp
- http://swenku.xyz/gaok
- http://trsuv.xyz/gait
- http://urarfx.xyz/twox
- http://ycvduc.xyz/trie
- https://github.com/ferrn1la/Monotone-HWID-Spoofer/raw/refs/heads/main/Monotone.exe
- https://github.com/lesth1alds/FortniteSpoofer/raw/refs/heads/main/TempSpoofer.exe
- https://github.com/svhcnenr/Temp-Spoofer-LifeTime/raw/refs/heads/main/TempSpoofer.exe
- https://raw.githubusercontent.com/am0slengh/SkriptGG/refs/heads/main/SkriptGG.exe
- https://raw.githubusercontent.com/carr1stomh/FortniteSpoofer/edcf430af107ef18bcc3ed435791e1345a77031f/TempSpoofer.exe
- https://raw.githubusercontent.com/ferrn1la/Monotone-HWID-Spoofer/5a6acd95d8e321faee3bd97511f3545f6e75f7fd/Monotone.exe
- https://raw.githubusercontent.com/ggarl1os/Monotone-HWID-Spoofer/e326762359914743e5d9e3e8320e5be2182b1c0c/Monotone.exe
- https://raw.githubusercontent.com/svhcnenr/Temp-Spoofer-LifeTime/1cb620ea7a2c0dfb9d3779f0b2732b2a877fbc1f/TempSpoofer.exe
- https://raw.githubusercontent.com/wrett1h/Monotone-HWID-Spoofer/f445555717a928a5e029dbf87b7a002e3d03b4c3/Monotone.exe
- https://softwarescr.info/dl
- https://ui3.fit/WeX.ini
- https://vfy2.help
SHA256
- 388f910e662f69c7ab6fcf5e938ba813cf92c7794e5c3a6ad29c2d9276921ed3
- 64f6c0c0fd736c4a82f545aadc7a1c49d4cea77b14f4b526ef9da56a606eeb3d
- fa8be0ce6f177965a5cd2db80e57c49fb31083bd4ddcb052def24cfbf48d65b5
