昨年 5 月、世界中の法執行当局が、わずか 2 か月で約 395,000 台の Windows コンピュータに感染させた情報窃盗業者 Lumma のインフラストラクチャを破壊し、国際的な作戦につながるという大きな勝利を収めました。資格情報や機密ファイルを盗む一連の検出困難な攻撃において、Lumma が再び「大きく」戻ってきたと研究者らが水曜日に発表した。

Lumma Stealer としても知られる Lumma は、2022 年にロシア語圏のサイバー犯罪フォーラムに初めて登場しました。そのクラウドベースのサービスとしてのマルウェア モデルは、無料のクラックされたソフトウェア、ゲーム、海賊版映画をホストするためのドメインの広大なインフラストラクチャと、コマンド アンド コントロール チャネルや脅威アクターが情報窃取事業を実行するために必要なその他すべてを提供する魅力的なサイトを提供しました。 1 年以内に、Lumma はプレミアム バージョンで最大 2,500 ドルで販売されました。 2024 年春の時点で、FBI は犯罪フォーラムに 21,000 件以上のリストを掲載していると数えています。 Microsoftは昨年、Lummaが最も多作なグループの1つであるScattered Spidersを含む多くの犯罪グループにとって「頼りになるツール」になっていると述べた。

テイクダウンは難しい

FBIとその国際連合は昨年初めに行動を起こした。 5月には、Infostealerの繁栄を可能にした2,300のドメイン、指揮統制インフラ、犯罪市場を押収したと発表した。しかし、このマルウェアは最近復活し、多数のマシンに再感染できるようになりました。

セキュリティ企業ビットディフェンダーの研究者らは、「2025年に法執行機関による大規模な鎮圧があり、数千の指揮統制領域が混乱したにもかかわらず、ルムマスターは再び活動を再開した」と書いている。 「この作戦は急速にインフラを再構築し、世界中に拡大している。」

以前の Lumma と同様に、最近の急増は「クリックフィックス」に大きく依存しています。これは、エンドユーザーのマシンを感染させるのに非常に効果的であることが証明されているソーシャル エンジニアリングの一種の誘惑です。通常、この種のルアーは偽の CAPTCHA の形式で提供されます。ユーザーはボックスをクリックするか、乱雑な画像内のオブジェクトや文字を識別する必要があり、テキストをコピーしてインターフェースに貼り付けるよう指示されます。このプロセスには数秒しかかかりません。このテキストは、偽の CAPTCHA によって提供される悪意のあるコマンドの形式で送信されます。インターフェースはWindowsターミナルです。準拠するターゲットは Loader マルウェアをインストールし、さらにそれが Lumma をインストールします。