
Microsoft podnosi alarm w związku z szeroko rozpowszechnionym zagrożeniem złośliwym oprogramowaniem Lumma
W niedawnym wpisie na blogu Microsoft ujawnił alarmujące statystyki dotyczące wpływu złośliwego oprogramowania na systemy Windows. Firma poinformowała, że w ciągu zaledwie dwóch miesięcy — od 16 marca 2025 r.do 16 maja 2025 r.— ponad 394 000 urządzeń z systemem Windows na całym świecie padło ofiarą złośliwego oprogramowania kradnącego informacje znanego jako „Lumma”.
Zrozumieć Lumma: zagrożenie typu Malware-as-a-Service
Lumma, znana również jako LummaC2, to wyrafinowane rozwiązanie typu „malware-as-a-service” (MaaS) opracowane przez grupę hakerską Storm-2477. Cyberprzestępcy wykorzystują Lummę głównie do kradzieży poufnych danych z różnych aplikacji, w tym popularnych przeglądarek internetowych i portfeli kryptowalut.
Taktyki dystrybucji i infekcji Lumma
Microsoft szczegółowo opisał różne metody złośliwej dystrybucji, które ułatwiły Lumma dotarcie do nich. Obejmują one:
- Wiadomości e-mail typu phishing: oszukańcze wiadomości e-mail, których celem jest nakłonienie odbiorców do pobrania złośliwego oprogramowania.
- Malvertising: fałszywe reklamy, których celem jest rozprzestrzenianie złośliwego oprogramowania.
- Pobieranie bez wiedzy użytkownika: wykorzystywanie zainfekowanych witryn internetowych do nieświadomego instalowania złośliwego oprogramowania na urządzeniach odwiedzających.
- Trojany: aplikacje wyglądające na legalne, które ukrywają złośliwe oprogramowanie.
- Fałszywe CAPTCHA: Wprowadzające w błąd monity, które prowadzą użytkowników w pułapki złośliwego oprogramowania.
Na przykład użytkownicy byli wprowadzani w błąd, pobierając podróbki oznaczone jako „Notepad++” lub „aktualizacje Chrome”.Aby nie paść ofiarą takich taktyk, zaleca się, aby zawsze pobierać oprogramowanie bezpośrednio z oficjalnych źródeł.
Trwałość zagrożenia ze strony Lummy
Nawet jeśli użytkownicy bezpiecznie pozyskują oprogramowanie, Lumma pozostaje stałym zagrożeniem. Złośliwe oprogramowanie może infiltrować systemy przez różne wektory, gdy tylko uda mu się przełamać zabezpieczenia, wpływając na popularne przeglądarki oparte na Chromium, takie jak Google Chrome i Microsoft Edge, a także Mozilla Firefox.
Możliwości Lumma Malware
Firma Microsoft przedstawiła szerokie możliwości Lummy w zakresie kradzieży poufnych danych:
- Dane uwierzytelniające przeglądarki i pliki cookie: Wyodrębnia zapisane hasła i pliki cookie sesji z najpopularniejszych przeglądarek.
- Portfele kryptowalutowe: Przeszukuje pliki i rozszerzenia portfeli, szukając poufnych kluczy.
- Różne zastosowania: Zbiera informacje z sieci VPN, klientów poczty e-mail, klientów FTP i aplikacji do przesyłania wiadomości.
- Dokumenty użytkownika: Gromadzi pliki z katalogów użytkownika, zwłaszcza te w formatach.pdf i.docx.
- Metadane systemu: Gromadzi dane telemetryczne, które pomagają w planowaniu przyszłych ataków.
Globalna mapa wpływu i infekcji
Według mapy cieplnej udostępnionej przez Microsoft, zniszczenia spowodowane przez Lummę są szczególnie widoczne w takich regionach jak Europa, wschodnie Stany Zjednoczone i różne części Indii, co podkreśla globalny charakter tego zagrożenia:

Środki obronne firmy Microsoft
Na szczęście jest też pozytywna strona. Microsoft potwierdził, że jego oprogramowanie antywirusowe Defender może teraz wykrywać LummaC2. Złośliwe oprogramowanie zostanie oznaczone jako kilka podejrzanych zachowań i klasyfikacji trojanów:
- Zachowanie: Win32/LuammaStealer
- Trojan:JS/LummaStealer
- Trojan:MSIL/LummaStealer
- Trojan:Win32/LummaStealer
- Trojan:Win64/LummaStealer
- TrojanDropper:Win32/LummaStealer
- Trojan:PowerShell/Powdow
- Trojan:Win64/Shaolaod
- Zachowanie: Win64/Shaolaod
- Zachowanie: Win32/MaleficAms
- Zachowanie: Win32/ClickFix
- Zachowanie: Win32/SuspClickFix
- Trojan:Win32/ClickFix
- Trojan:Script/ClickFix
- Zachowanie: Win32/RegRunMRU
- Trojan:HTML/FakeCaptcha
- Trojan:Script/SuspDown
Podobne możliwości są dostępne w Defender for Office 365 i Defender for Endpoint. Aby uzyskać bardziej szczegółowe informacje techniczne dotyczące Lumma, możesz uzyskać dostęp do oficjalnego wpisu na blogu firmy Microsoft tutaj i powiązanego ogłoszenia tutaj.
Dodaj komentarz