Operasi luas yang dilakukan oleh lembaga penegak hukum global dan konsorsium perusahaan sektor swasta telah mengganggu infrastruktur online yang terkait dengan pencuri informasi komoditas yang dikenal sebagai Lumma (alias Lummac atau Lummac2), menyita 2.300 domain yang bertindak sebagai sistem komando-dan-kontrol (C2) untuk menjadi komando.
“Malware seperti Lummac2 dikerahkan untuk mencuri informasi sensitif seperti kredensial login pengguna dari jutaan korban untuk memfasilitasi sejumlah kejahatan, termasuk transfer bank yang curang dan pencurian cryptocurrency,” kata Departemen Kehakiman AS (DOJ) dalam sebuah pernyataan.
Infrastruktur yang disita telah digunakan untuk menargetkan jutaan orang di seluruh dunia melalui afiliasi dan penjahat cyber lainnya. Lumma Stealer, aktif sejak akhir 2022, diperkirakan telah digunakan dalam setidaknya 1,7 juta contoh untuk mencuri informasi, seperti data browser, informasi autofill, kredensial login, dan frasa benih cryptocurrency. Biro Investigasi Federal AS (FBI) telah mengaitkan sekitar 10 juta infeksi dengan Lumma.
Penyitaannya berdampak pada lima domain yang berfungsi sebagai panel login untuk administrator Lumma Stealer dan membayar pelanggan untuk menggunakan malware, sehingga mencegah mereka mengkompromikan komputer dan mencuri informasi korban.
“Antara 16 Maret dan 16 Mei 2025, Microsoft mengidentifikasi lebih dari 394.000 komputer Windows yang terinfeksi secara global oleh malware Lumma,” kata Europol, menambahkan operasi memotong komunikasi antara alat berbahaya dan korban. Badan itu menggambarkan Lumma sebagai “ancaman infostealer paling signifikan di dunia.”
Unit Kejahatan Digital Microsoft (DCU), dalam kemitraan dengan perusahaan keamanan siber lainnya ESET, Bitsight, Lumen, Cloudflare, Cleandns, dan GMO Registry, mengatakan itu menurunkan sekitar 2.300 domain jahat yang membentuk tulang punggung infrastruktur Lumma.
 |
| Penyebaran infeksi malware pencuri lumma di seluruh perangkat Windows |
“Pengembang utama Lumma berbasis di Rusia dan pergi dengan alias internet 'Shamel,'” Steven Masada, asisten penasihat umum di DCU, mengatakan. “Shamel memasarkan tingkatan layanan yang berbeda untuk Lumma melalui Telegram dan forum obrolan berbahasa Rusia lainnya. Tergantung pada layanan apa yang dibeli oleh penjahat cyber, mereka dapat membuat versi malware mereka sendiri, menambahkan alat untuk menyembunyikan dan mendistribusikannya, dan melacak informasi curian melalui portal online.”
Pencuri, yang dipasarkan di bawah model malware-as-a-service (MAAS), tersedia berdasarkan langganan untuk di mana saja antara $ 250 hingga $ 1.000. Pengembang juga menawarkan paket $ 20.000 yang memberi pelanggan akses ke kode sumber dan hak untuk menjualnya kepada aktor kriminal lainnya.
 |
| Hitungan mingguan dari domain C2 baru |
“Tingkat yang lebih rendah mencakup opsi pemfilteran dan unduhan log dasar, sementara tingkatan yang lebih tinggi menawarkan pengumpulan data khusus, alat penghindaran, dan akses awal ke fitur baru,” kata ESET. “Rencana paling mahal menekankan siluman dan kemampuan beradaptasi, menawarkan pembuatan bangunan yang unik dan berkurangnya deteksi.”
Selama bertahun -tahun, Lumma telah menjadi ancaman yang terkenal kejam, dikirim melalui berbagai vektor distribusi, termasuk metode clickFix yang semakin populer. Pembuat Windows, yang melacak aktor ancaman di belakang pencuri dengan nama Storm-2477, mengatakan infrastruktur distribusinya adalah “dinamis dan tangguh,” memanfaatkan kombinasi phishing, malvertising, skema unduhan drive-by, penyalahgunaan platform tepercaya, dan sistem distribusi lalu lintas seperti Prometheus.
 |
| Lumma C2 Mekanisme Seleksi |
Cato Networks, dalam sebuah laporan yang diterbitkan pada hari Rabu, mengungkapkan bahwa dugaan aktor ancaman Rusia memanfaatkan penyimpanan objek Tigris, penyimpanan objek Oracle Cloud Infrastructure (OCI), dan penyimpanan objek Scaleway untuk meng-host halaman peraputan ulang palsu yang memanfaatkan lures gaya clickfix untuk menipu pengguna agar mengunduh pencuri Lumma.
“Kampanye baru -baru ini memanfaatkan penyimpanan objek Tigris, penyimpanan objek OCI, dan penyimpanan objek skaleway dibangun berdasarkan metode sebelumnya, memperkenalkan mekanisme pengiriman baru yang bertujuan menghindari deteksi dan menargetkan pengguna yang mahir secara teknis,” kata para peneliti tipu daya Domingo, Guy Waizel, dan Tomer Agayev.
 |
| Aliran serangan untuk clickfix yang mengarah ke pencuri lumma menggunakan prometheus tds |
Beberapa aspek penting dari malware di bawah ini –
- Ini menggunakan infrastruktur C2 multi-tier yang terdiri dari serangkaian sembilan domain tingkat-1 yang sering berubah dengan keras ke dalam konfigurasi malware dan Fallback C2S yang di-host pada profil uap dan saluran telegram yang menunjuk ke Tier-1 C2Sss
- Muatan biasanya tersebar menggunakan jaringan bayar-per-instal (PPI) atau penjual lalu lintas yang mengirimkan instalasi-sebagai-layanan.
- Pencuri biasanya dibundel dengan perangkat lunak spoofed atau versi retak perangkat lunak komersial populer, menargetkan pengguna yang ingin menghindari membayar lisensi yang sah
- Operator telah menciptakan pasar telegram dengan sistem peringkat untuk afiliasi untuk menjual data curian tanpa perantara
- Biner inti dikaburkan dengan perlindungan canggih seperti mesin virtual tingkat rendah (inti LLVM), perataan aliran kontrol (CFF), kebingungan aliran kontrol, dekripsi tumpukan yang disesuaikan, variabel tumpukan besar, dan kode mati, antara lain untuk membuat analisis statis sulit
- Ada lebih dari 21.000 daftar pasar yang menjual log pencuri lumma di beberapa forum penjahat cyber dari April hingga Juni 2024, peningkatan 71,7% dari April hingga Juni 2023
“Infrastruktur distribusi pencuri Lumma fleksibel dan mudah beradaptasi,” kata Microsoft. “Operator terus -menerus memperbaiki teknik mereka, memutar domain jahat, mengeksploitasi jaringan iklan, dan memanfaatkan layanan cloud yang sah untuk menghindari deteksi dan mempertahankan kontinuitas operasional. Untuk lebih menyembunyikan server C2 yang sebenarnya, semua server C2 tersembunyi di balik proxy Cloudflare.”
“Struktur dinamis ini memungkinkan operator untuk memaksimalkan keberhasilan kampanye sambil memperumit upaya untuk melacak atau membongkar kegiatan mereka. Pertumbuhan dan ketahanan pencuri Lumma menyoroti evolusi yang lebih luas dari kejahatan dunia maya dan menggarisbawahi kebutuhan akan pertahanan berlapis dan kolaborasi industri untuk melawan ancaman.”
Dalam sebuah wawancara dengan peneliti keamanan G0NJXA pada Januari 2025, pengembang di belakang Lumma mengatakan mereka bermaksud untuk menghentikan operasi pada musim gugur mendatang. “Kami telah melakukan banyak pekerjaan selama dua tahun untuk mencapai apa yang kami miliki sekarang,” kata mereka. “Kami bangga akan hal ini. Ini telah menjadi bagian dari kehidupan kita sehari -hari bagi kita, dan bukan hanya bekerja.”
