Nove Lumma Stealer kampanje

AUTOR ·

Zlonamjerni softver Lumma Stealer se brzo širi kroz sofisticiranu kampanju koja koristi naoružane datoteke prerušene u video zapise. Ova taktika omogućava zlonamjernim akterima da zaobiđu tradicionalne mjere bezbjednosti pokazuje istraživanje sajber bezbjednosne platforme Silent Push.

Lumma Stealer

Nove Lumma Stealer kampanje; Source: Bing Image Creator

LUMMA STEALER

Lumma Stealer je prvi put viđen na kriminalnim forumima na ruskom jeziku 2022. godine, što je označilo značajnu prekretnicu u evoluciji zlonamjernog softvera kakvog danas poznajemo. Pojava ovog sofisticiranog zlonamjernog softvera za krađu informacija izazvala je zabrinutost širom zajednice sajber bezbjednosti, dok stručnjaci upozoravaju na njegov potencijal da izazove štetu i ugrozi osjetljive korisničke podatke. Kako se dublje analizira Lumma Stealer zlonamjerni softver, jedna stvar postaje jasna: ovo je visoko organizovana i dobro finansirana operacija koja nastavlja da se razvija alarmantnom brzinom.

Poslovni model zlonamjerni softver kao usluga (eng. malware-as-a-service – MaaS) postoji već neko vreme, ali Lumma Stealer zlonamjerni softver ga podiže na nove visine. Nudeći različite nivoe cijena za operacije zlonamjernih aktera različitih veličina, kreatori koji stoje iza ovog zlonamjernog softvera su efikasno demokratizovali pristup sofisticiranim alatkama za sajber kriminal. To znači da čak i relativno mali operateri sada mogu da steknu i koriste vrhunske mogućnosti zlonamjernog softvera bez potrebe za opsežnom tehničkom stručnošću ili resursima. Implikacije su zapanjujuće: sa Lumma Stealer zlonamjernim softverom na raspolaganju, ovi zlonamjerni akteri mogu da ciljaju širi spektar žrtava, prikupljaju osjetljivije informacije i preprodaju ukradene akreditive drugim zlonamjernim stranama.

Lumma Stealer zlonamjerni softver dizajniran je prvenstveno za prikupljanje osjetljivih informacija sa inficiranih sistema. Dok se slični zlonamjerni softveri poput njega fokusiraju na prikupljanje akreditiva za prijavljivanje i drugih ličnih podataka, Lumma Stealer zlonamjerni softver ide dalje ciljajući informacije internet pregledača (kolačiće, istoriju, proširenja, sačuvane lozinke), evidencije ćaskanja, detalje o instaliranim programima, uskladištene finansijske informacije, pa čak i podatke o novčaniku kriptovaluta. To znači da korisnici koji postanu žrtve ovog zlonamjernog softvera mogu očekivati da će njihove osjetljive informacije biti ugrožene na više frontova.

 

Posebno pripremljeni video zapisi

Nedavni porast broja zlonamjernog softvera koji se širi preko YouTube platforme naglasio je podmukle taktike koje koriste zlonamjerni akteri koristeći Lumma Stealer. Kako analiza sigurnosnih istraživača otkriva, ove zlonamjerne kampanje nisu samo sofisticirane već i sve vještije u manipulaciji internet platformama za širenje zaraženih datoteka prerušenih u video zapise koji  šire zlonamjerni softver preko MediaFire linkova. Lakoća kojom se žrtve mogu namamiti da preuzmu ili kliknu na linkove ugrađene u YouTube sadržaj stvorila je savršenu priliku za širenje ovog zlonamjernog softvera.

Alarmantna realnost je da su mnogi od ovih video snimaka prikupili značajne preglede, što je dodatno povećalo njihovu vidljivost na platformi. Taktike koje koriste operateri Lumma Stealer nisu ništa drugo nego genijalne, koristeći popularne termine za pretragu i tematske oznake (eng. hashtags) kako bi se povećala vidljivost među korisnicima koji ništa ne sumnjaju. Ova manipulacija YouTube algoritmom je omogućila zlonamjernim akterima da efikasnije šire svoj zlonamjerni softver, ciljajući nesvjesne korisnike koji možda nisu upoznati sa rizicima povezanim sa klikom na sumnjive veze ili preuzimanjem datoteka iz neprovjerenih izvora.

Jedna od primarnih metoda koju koriste operateri Lumma Stealer uključuje ugrađivanje zlonamjernih linkova za preuzimanje u YouTube video snimke. Ove veze često preusmjeravaju korisnike na spoljne internet lokacije na kojima se nalaze zaražene datoteke, koje se zatim preuzimaju na njihove uređaje bez njihovog znanja ili saglasnosti. U nekim slučajevima, od žrtava se traži da gledaju određene video snimke pre nego što dobiju pristup linku za preuzimanje, što je taktika dizajnirana da manipuliše YouTube algoritmom dok širi zlonamjerni softver.

U jednom takvom primjeru, određeni video sa YouTube platforme u kojem je opis videa doveo potencijalne žrtve do linka za preuzimanje koji se nalazi izvan YouTube platforme, zajedno sa sumnjivim tematskim oznakama uključenim u opis. Ova spoljna lokacija služila je kao kanal za distribuciju zlonamjernih datoteka koje su dizajnirane da ugroze korisničke podatke.

 

Lažni test za ljude

Još jedna od taktika koju koriste Lumma Stealer zlonamjerni akteri korištenja lažnih testova za ljude (eng. CAPTCHA) koji oponašaju legitimne sisteme provjere, dizajnirane da prevare korisnike da izvrše zlonamjerni kôd. Ova tehnika, poznata kao “ClickFix”.

Lažni testovi za ljude (eng. CAPTCHA) su vrsta napada društvenog inženjeringa gdje zlonamjerni akteri kreiraju internet stranice ili upite ubjedljivog izgleda koji izgledaju kao dio standardnog procesa provjere. Upotreba lažnih testova za ljude je posebno podmukla, jer se njome oslanja na povjerenje korisnika u legitimne sisteme provjere. Kada se korisnicima prikaže naizgled autentičan upit, mnogi pojedinci će instinktivno završiti zadatak bez oklijevanja, nesvjesni da zapravo izvršavaju zlonamjerni kod.

U ovom slučaju Lumma Stealer zlonamjerni akteri zloupotrebljavaju Cloudflare reCAPTCHA sistem, gdje ove lažne stranice oponašaju legitimni ID za provjeru i podstiču korisnike da završe naizgled bezopasan zadatak, kao što je klik na sliku ili unošenje CAPTCHA kôda. Ova taktika koristi prednosti ljudske psihologije i može biti veoma efikasna u prevari čak i tehnički potkovanim korisnicima da ugroze svoju bezbjednost. Međutim, bez znanja korisnika, ova akcija zapravo izvršava zlonamjerni kôd koji dovodi do instaliranja zlonamjernog softvera.

 

Ciljanje djece

Primijećeno je da kampanja Lumma Stealer zlonamjernog softvera cilja na djecu kroz sadržaje u vezi sa igrama na platformama kao što je Roblox, popularna internet igra koja omogućava korisnicima da kreiraju i igraju sopstvene igre. Sa preko 164 miliona aktivnih korisnika mjesečno u 2020, Roblox je privlačna meta za zlonamjerne aktere koji žele da iskoriste nesvjesne igrače. Ogromna baza korisnika i otvorena priroda platforme čine je idealnim leglom za širenje zlonamjernog softvera.

Ciljanje djece putem sadržaja u vezi sa igrama na platformama kao što je Roblox izaziva ozbiljnu zabrinutost u pogledu bezbjednosti mladih korisnika na mreži. Djeca često imaju veće povjerenje i manje su svjesna potencijalnih prijetnji, što ih čini lakšom metom za zlonamjerne aktere. Upotreba popularnih termina za pretragu i tematskih oznaka u Lumma Stealer kampanji za povećanje vidljivosti među korisnicima koji ništa ne sumnjaju je pametna taktika koja iskorišćava ovu ranjivost. Korišćenjem ključnih riječi koje se odnose na igre i interesovanja djece, zlonamjerni softver se može brzo širiti preko platformi društvenih medija kao što je YouTube, gdje se video snimci često djele uz malo pažnje.

Fokus Lumma Stealer kampanje na sadržaju u vezi sa igrama je posebno zabrinjavajući, jer koristi prirodnu radoznalost mladih igrača koji možda žele da istražuju nove igre ili gledaju popularne video snimke.

 

Komanda i kontrola (C2)

Prema nalazima sigurnosnih istraživača, domeni za komandu i kontrolu (C2) se često registruju masovno korištenjem automatizovanih procesa. Ovo otkriće ukazuje na sofisticirane taktike koje koriste zlonamjerni akteri da izbjegnu otkrivanje i održavaju robusnu infrastrukturu za širenje zlonamjernog softvera.

Proces registracije više domena odjednom nije neuobičajen u svetu sajber bezbjednosti. Međutim, kada su u pitanju zlonamjerni akteri poput onih koji stoje iza Lumma Stealer zlonamjernog softvera, ova taktika poprima zlokobniji ton. Korišćenjem automatizovanih procesa za registraciju velikog broja C2 domena, ovi pojedinci mogu da stvore široku mrežu potencijalnih komandnih centara za svoje operacije zlonamjernog softvera. Ovo im omogućava da se brzo prilagode i reaguju na promjenljive okolnosti, kao što su otkrivanje novih ranjivosti ili primjena bezbjednosnih mjera od strane proizvođača antivirusnog softvera.

Strateška registracija više domena takođe omogućava zlonamjernim akterima poput onih koji stoje iza Lumma Stealer zlonamjernog softvera da održe visok stepen fleksibilnosti u svojim operacijama. Imajući na raspolaganju brojne C2 domene, oni mogu lako da prelaze između njih ako je jedan ugrožen. Ova agilnost im omogućava da ostanu ispred sigurnosnih istraživača i agencija za sprovođenje zakona koje neumorno rade na ometanju njihovih aktivnosti.

Infrastruktura koja podržava operacije Lumma Stealer zlonamjernog softvera često oslanja na mreže za isporuku sadržaja (eng. content delivery network – CDN) kao što je Cloudflare. Ove mreže pružaju sloj zaštite i anonimnosti za zlonamjerne aktere, što čini izazovnijim sigurnosnim istraživačima ili agencijama za sprovođenje zakona da identifikuju njihovu komunikaciju.

Korišćenje usluga zasnovanih na oblaku od strane zlonamjernih aktera nije novo; međutim, sve veća sofisticiranost ovih operacija dovela ih je do usvajanja još naprednijih taktika. Koristeći mreže za isporuku sadržaja (CDN) kao što je Cloudflare, oni mogu da stvore sloj apstrakcije između sebe i potencijalnih meta, što otežava bezbjednosnim profesionalcima ili agencijama za sprovođenje zakona da odrede njihovu tačnu lokaciju.

 

Uticaj

Zlonamjerni softver generalno predstavlja značajnu prijetnju kako pojedincima tako i organizacijama, međutim kada je u pitanju specifičan zlonamjerni softver kao što je kao Lumma Stealer, njegov uticaj može biti posebno razoran zbog njegovog sofisticiranog dizajna i sposobnosti prikupljanja osjetljivih informacija od kompromitovanih sistema. Kao zlonamjerni softver za krađu informacija, primarni cilj Lumma Stealer zlonamjernog softvera je prikupljanje osjetljivih informacija sa inficiranih sistema.

Za korisnike uticaj Lumma Stealer zlonamjernog softvera može biti razoran zbog njegove sposobnosti da prikuplja osjetljive lične podatke kao što su podaci za prijavu u internet pregledaču istorija kreditne kartice i drugi lični podaci. Ovi ukradeni podaci se zatim mogu koristiti za razne lažne aktivnosti, uključujući krađu identiteta. Za organizacije uticaj Lumma Stealer zlonamjernog softvera takođe može biti značajan zbog njegove sposobnosti da prikuplja osjetljive podatke u vezi sa poslovanjem, kao što su finansijski podaci, detalji o novčaniku za kriptovalute i druge vlasničke informacije.

 

ZAKLJUČAK

Nedavni porast broja zlonamjernog softvera koji se širi preko YouTube platforme istakao je podmukle taktike koje koriste zlonamjerni akteri koristeći Lumma Stealer, posebno opasan zlonamjerni softver koji i dalje izbjegava napore za otkrivanje i ublažavanje. Kao što analize sigurnosnih istraživača pokazuju, ove zlonamjerne kampanje nisu samo sofisticirane već i sve vještije u manipulaciji internet platformama za širenje inficiranih datoteka prerušenih u video zapise. Lakoća kojom se žrtve mogu namamiti da preuzmu ili kliknu na linkove ugrađene u YouTube sadržaj stvorila je savršenu priliku za širenje ovog zlonamjernog softvera.

Taktike koje koriste operateri Lumma Stealer zlonamjernog softvera nisu ništa drugo nego genijalne, koristeći popularne termine za pretragu i tematske oznake kako bi se povećala vidljivost među korisnicima koji ništa ne sumnjaju. Štaviše, njihovo korišćenje lažnih CAPTCHA stranica koje oponašaju Cloudflare sistem za provjeru je majstorska klasa u obmani, varajući žrtve da izvrše zlonamjerni kôd koji može imati razorne posljedice po njihove uređaje i lične podatke. Ciljanje djece putem sadržaja u vezi sa igrama na platformama kao što je Roblox takođe je izazvalo zabrinutost zbog ranjivosti ove demografije na internet prijetnje.

Kako sigurnosni istraživači i stručnjaci za sajber bezbjednost nastavljaju da prate ovaj razvoj događaja, postaje sve jasnije da su operateri Lumma Stealer zlonamjernog softvera sila na koju treba računati u svetu sajber kriminala. Njihova sposobnost da se prilagode i razviju svoje taktike alarmantnom brzinom čini otkrivanje i ublažavanje stalnim izazovom za stručnjake za sajber bezbjednost. Neophodno je da korisnici budu izuzetno oprezni kada komuniciraju sa YouTube sadržajem, posebno ako se od njih zatraži da preuzmu ili kliknu na veze iz neprovjerenih izvora. Svjesni ovih prijetnji i preduzimanje proaktivnih mjera da se zaštite na internetu, pojedinci mogu značajno da smanje rizik da postanu žrtve ovog podmuklog zlonamjernog softvera.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako zaštititi sebe i organizaciju od zlonamjernog softvera Lumma Stealer koji se širi putem posebno pripremljenih datoteka prerušenih u video snimke:

  1. Prilikom komunikacije sa YouTube sadržajem, posebno kada se zatraži da preuzimanje ili klikanje na veze, primjenjivati izuzetan oprez. Zlonamjerne veze i zaražene datoteke su često prikrivene u video snimcima, komentarima ili opisima. Provjeriti autentičnost izvora pre bavljenja njegovim sadržajem;
  2. Zlonamjerni softver Lumma Stealer se može širiti putem posebno pripremljenih datoteka prerušenih u video zapise, zbog čega je neophodno biti oprezan prilikom pretrage YouTube Primjenjivati oprez prilikom klikova na sumnjive veze ili preuzimanja priloga od nepoznatih korisnika. Uvijek provjeriti izvor i legitimnost bilo koje datoteke ili veze koja se djeli u komentarima ili opisima. Ako video izgleda previše dobar (ili loš) da bi bio istinit, vjerovatno jeste;
  3. Uvjeriti se da su operativni sistem, internet pregledač i drugi softver ažurirani sa najnovijim bezbjednosnim ispravkama. Ovo će pomoći da se spriječi iskorištavanje poznatih ranjivosti od strane zlonamjernog softvera kao što je Lumma Stealer;
  4. Instalirajte renomirani antivirusni softver koji uključuje napredne funkcije zaštite od prijetnji. Ovo će pomoći da se otkriju i blokiraju zlonamjerne datoteke i veze pre nego što mogu da izazovu štetu. Antivirusni softver je ključna linija odbrane od napada zlonamjernog softvera. Izabrati antivirusno rješenje koje nudi skeniranje u realnom vremenu, analizu ponašanja i izolovano okruženje (eng. sandboxing) da bi se identifikovale i neutralisale prijetnje. Redovno ažurirati antivirusne definicije da bi se osigurala najnovija zaštita od novih prijetnji;
  5. Implementirajte filtriranje elektronske pošte i izolovana okruženja da bi se otkrile i izolovale sumnjive elektronske poruke koje sadrže zlonamjerne priloge ili veze. Napadi putem elektronske pošte su značajan vektor za širenje zlonamjernog softvera, uključujući Lumma Stealer. Koristite filtere elektronske pošte koji mogu da identifikuju i blokiraju poznate zlonamjerne pošiljaoce, domene ili ključne riječi;
  6. Obrazovati korisnike o bezbjednim internet praksama kako bi se spriječilo širenje zlonamjernog softvera putem taktika društvenog inženjeringa. Zlonamjerni softver poput Lumma Stealer se često oslanja na ljudsku grešku za širenje. Obrazovati korisnike o navikama bezbjednog pregledanja, kao što su izbjegavanje sumnjivih veza i priloga, provjera autentičnosti prije nego što se uključe u sadržaj i prijavljivanje bilo kakvih neuobičajenih aktivnosti ili poruka. Redovno održavati sesije o podizanju svesti o bezbjednosti da bi se ojačale ove preporučene prakse;
  7. Redovno pravite rezervne kopije kritičnih podataka da bi se spriječili gubici u slučaju da sistem kompromituje zlonamjerni softver ili drugi bezbjednosni incidenti. Napadi zlonamjernog softvera mogu dovesti do značajnih finansijskih gubitaka zbog gubitka produktivnosti, narušene reputacije i potencijalnih regulatornih kazni. Uvjeriti se da je primijenjena dobra strategija pravljenja rezervnih kopija za sve kritične sisteme, datoteke i aplikacije. Redovne rezervne kopije će pomoći da se smanje zastoji i troškovi oporavka ako dođe do napada;
  8. Primijeniti tehnike segmentacije mreže da bi se izolovale osjetljive oblasti infrastrukture od ostatka mreže. Segmentacija mreže može značajno da smanji širenje zlonamjernog softvera unutar ugroženog okruženja izolacijom osjetljivih sredstava od drugih dijelova mreže. Koristiti zaštitne zidove, virtuelne lokalne mreže (eng. virtual local area networks – VLAN) ili druge metode izolacije da se odvoje kritični sistemi skladišta podataka od manje bezbjednih oblasti;
  9. Redovno nadgledajte sistemske evidencije u potrazi za znakovima sumnjivih aktivnosti koje mogu ukazivati na infekciju zlonamjernim softverom kao što je Lumma Stealer. Infekcije zlonamjernim softverom često pokazuju neobične obrasce ponašanja, kao što su povećana upotreba procesora ili skokovi mrežnog saobraćaja. Redovno praćenje može pomoći u otkrivanju ovih anomalija rano, omogućavajući brzo reagovanje prije nego što situacija dalje eskalira;
  10. Potrebno je biti informisan o novonastalim prijetnjama i ranjivosti koja mogu uticati na bezbjednosni položaj organizacije od zlonamjernog softvera kao što je Lumma Stealer. Praćenje obavještajnih podataka o prijetnjama je ključno za efikasne strategije odbrane. Redovno pregledanje sigurnosnih izvještaja o industriji, prisustva internet edukacijama ili konferencijama i saradnja sa kolegama su značajni mehanizmi za informisanje o novim vektorima napada, taktikama, tehnikama i procedurama koje koriste zlonamjerni akteri;
  11. Razvijati plan odgovora na sajber prijetnju koji navodi korake koje treba preduzeti u slučaju infekcije zlonamjernim softverom kao što je Lumma Stealer. Planiranje odgovora na sajber prijetnju je ključno za smanjenje uticaja bezbjednosnih incidenata na poslovanje i reputaciju organizacije. Razviti sveobuhvatan plan odgovora na sajber prijetnju koji uključuje procedure za zadržavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta;
  12. Primjena jakih smjernica kontrole pristupa je ključna za sprečavanje neovlaštenog pristupa osjetljivim podacima. Ovo uključuje postavljanje čvrstih politika lozinki, implementaciju autentifikacije u više koraka (eng. multi-factor authentication – MFA) i ograničavanje privilegija korisnika na osnovu njihovih uloga u organizaciji.

Gore navedene preporuke pružaju sveobuhvatan okvir za zaštitu od zlonamjernog softvera Lumma Stealer koji se širi putem posebno pripremljenih datoteka prerušenih u video snimke na YouTube platformi. Primjenom ovih mjera moguće je značajno smanjiti rizik od uspješnih napada ovog zlonamjernog softvera unutar infrastrukture organizacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.