Опасный вирус Lumma Stealer распространяется через фейковый софт в Facebook*

Основным каналом распространения стала фейковая страница в Facebook*, которая рекламирует взломанную версию популярного программного обеспечения Turnitin. Сообщение, опубликованное 26 июня 2025 года, привлекает пользователей возможностью скачать бесплатную пиратскую копию софта. Однако вместо ожидаемого приложения жертвы получают защищенный паролем архив, содержащий Nullsoft-установщик.

После запуска установщика активируется зашифрованный пакетный скрипт, который использует легальный интерпретатор AutoIt для исполнения вредоносной нагрузки - Lumma Stealer. Этот троян специализируется на краже данных, включая пароли, куки-файлы браузеров, криптокошельки и другую конфиденциальную информацию с Windows-систем.

Но на этом атака не заканчивается. Lumma Stealer загружает дополнительный загрузчик, который, в свою очередь, скачивает инструмент для тестирования проникновения (Penetration Testing Tool) с публичного репозитория GitHub. Это позволяет злоумышленникам расширить контроль над зараженной машиной. Для обеспечения устойчивости вредонос добавляет ярлык в папку автозагрузки Windows, что гарантирует его повторный запуск при каждой загрузке системы.

Пользователям настоятельно рекомендуется избегать скачивания пиратского ПО, особенно из непроверенных источников в социальных сетях. Даже если предложение выглядит заманчиво, подобные файлы могут скрывать серьезные угрозы для безопасности данных и корпоративных сетей. Компаниям следует обучать сотрудников основам кибергигиены и внедрять многофакторную аутентификацию для защиты критически важных учетных записей.

Распространение Lumma Stealer через Facebook* демонстрирует, что социальные сети остаются излюбленной площадкой для киберпреступников. Они активно используют доверие пользователей к популярным платформам, чтобы распространять вредоносные программы. Владельцам аккаунтов следует быть предельно осторожными при переходе по ссылкам и скачивании файлов, даже если они выглядят легитимными.

Будьте бдительны и помните: бесплатный сыр бывает только в мышеловке. В мире киберпреступности даже самая невинная ссылка может обернуться серьезными проблемами для вашей конфиденциальности и безопасности.

* Организация Meta, а также её продукт Facebook, на который мы ссылаемся в этой статье, признаны экстремистскими на территории РФ.

IPv4 Port Combinations

• 144.172.112.32:16443
• 144.172.115.212:443

Domains

• genhqq.xyz
• metallurgify.com

URLs

• http://86.54.25.40/sok.exe
• https://arch.kot3jsd.my/bridge/u/Y27r2P1ouMf2u5AztNgPxot5/Turnitin%20Free%20Download%20Crack%20Windows.zip
• https://github.com/ramzan4ik-leaks/BOENG/raw/refs/heads/main/m4.exe
• https://gohhs.com/2wQzon
• https://media.cloud839v3.cyou/Turnitin+Free+Download+Crack+Windows.zip
• https://metallurgify.com:16443
• https://raw.githubusercontent.com/ramzan4ik-leaks/BOENG/refs/heads/main/m4.exe
• https://www.facebook.com/media/set/?set=a.6907433412682773

SHA256

• 06f1f7a336e1cd394e9599b10c6aa4e81baa9dc55de1dbb38e024fb25567a3c8
• 0d43a430203ef9e97cca133222163b8639a1d2e22aecfd1b435bf2625b4e278f
• 1300262a9d6bb6fcbefc0d299cce194435790e70b9c7b4a651e202e90a32fd49
• 362029dd294baf0331303930883a2cd65dad83f76479c9951e3739b4b86e4246
• 393d54e26b1b9e3c3c591d850580f4e86c478800f49d108023fca3a253b4ae47
• 40e6b15c9a73bab855029ce417b3cbe758bd4dac03f3fff2dc4fa9f3cbe8b29b
• 5743fac858ce41d0f507d82517358c69652459283c133a3cdb70231792caa066
• cdfa264eeb65a8b3ea2e49b248c7cb689899d3f9da2483d293365fdf1912313e
• d53c280a014ad218aa1a9050143c714bce8a69373110b9a8cf32bd62da8a0fd1