Раскрыта экосистема аффилированных лиц Lumma Stealer: инструменты, схемы и устойчивость киберпреступников

Аффилированные лица Lumma используют разнообразные сервисы для обеспечения анонимности и обхода защиты. Среди них - прокси-сервисы (Pia Proxy, GhostSocks, ASocks), VPN (ExpressVPN, NordVPN, Proton VPN), антидетект-браузеры (Dolphin, Octo Browser, Brave) и специализированные хостинг-провайдеры, такие как AnonRDP и Bulletproof Hosting, которые активно рекламируются на киберпреступных форумах и ориентированы на обеспечение анонимности и устойчивости к санкциям.

Важным элементом инфраструктуры являются сервисы криптования и эксплуатации уязвимостей. Например, сервис Hector, управляемый @cryptexxx, предоставляет инструменты для создания вредоносных нагрузок, обхода антивирусного ПО и доставки стилеров через скомпрометированные документы Office или фишинговые страницы. Также аффилированные лица используют такие инструменты, как EMAIL SOFTWARE 1.4.0.9 для проверки действительности почтовых учетных данных и DONUSSEF - генератор фишинговых страниц на основе ИИ.

Исследование выявило, что многие аффилированные лица работают с несколькими инфостилерами одновременно - такими как Vidar, Stealc и Meduza Stealer. Это позволяет им диверсифицировать риски, повышать успешность атак и минимизировать последствия обнаружения или вмешательства правоохранителей. Например, один из злоумышленников, связанный со сборкой Lumma re0gvc, использовал Meduza Stealer и, возможно, CraxsRAT для таргетирования мобильных устройств.

Аффилированные лица активно интегрированы в подпольную экономику через форумы и кардинг-платформы. Киберпреступные площадки, такие как XSS, Exploit и LolzTeam, используются для рекрутинга, обучения, обмена ресурсами и монетизации stolen-данных. Например, на Russian Market (rm1[.]to) до 92% учетных данных поступает от Lumma, что подчеркивает масштаб её влияния. Кардинг-шопы, включая BriansClub, используются для продажи финансовых данных и организации мошеннических операций.

Некоторые совмещают распространение стилеров с другими мошенническими схемами. Яркий пример - blackowl23, который участвовал в rental-мошенничестве через скомпрометированные аккаунты на платформе WG-Gesucht. Жертвам предлагалось внести предоплату через поддельные страницы Booking.com под предлогом обеспечения безопасности сделки.

Экосистема Lumma демонстрирует высокую устойчивость. После майской операции правоохранителей в 2025 году инфраструктура была восстановлена в течение нескольких дней, а аффилированные лица продолжили активность без значительных изменений в методах работы. Это подчеркивает децентрализованный и адаптивный характер современных киберпреступных операций.

Lumma и её аффилированные лица остаются серьезной угрозой, сочетающей техническую sophistication, операционную гибкость и глубокую интеграцию в подпольную экономику. Успешное противодействие требует не только технических мер, но и координации между правоохранительными органами и индустрией кибербезопасности для постоянного давления на операторов и их инфраструктуру.

IPv4

• 162.210.192.136
• 174.138.176.77
• 174.138.176.78
• 195.154.43.189
• 209.159.153.19
• 212.83.137.94
• 212.83.138.186
• 212.83.138.245
• 212.83.143.103
• 212.83.143.118
• 212.83.143.159
• 212.83.143.191
• 38.91.107.2
• 38.91.107.229
• 51.83.116.4
• 66.29.129.52
• 67.213.210.115
• 67.213.212.50

URLs

• http://195.133.18.15/auth/login
• http://94.232.249.208/6a6fe9d70500fe64/main.php

SHA256

• b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630