Вредоносные программы, созданные для проникновения в системы и кражи конфиденциальных данных, представляют серьёзную угрозу. Одним из наиболее опасных таких вирусов был Lumma Stealer, против которого выступили Microsoft и правоохранительные органы нескольких стран.
Lumma Stealer распространялся по модели «вирус как услуга» (MaaS) с 2022 года, и его функциональность постоянно расширялась. Киберпреступники по всему миру использовали Lumma для кражи паролей и данных банковских карт, опустошения криптовалютных кошельков и нарушения работы критически важных служб. Вирус мог похищать учётные данные и cookie-файлы из браузеров, находить локально сохранённые криптовалютные кошельки и расширения, а также атаковать VPN-сервисы и различные интернет-приложения. Кроме того, Lumma собирал различные типы документов (PDF, DOCX, RTF) из профиля пользователя и похищал метаданные о заражённом компьютере для дальнейшего использования. Распространялся он множеством способов: через фишинговые письма, вредоносную рекламу, загрузки с взломанных сайтов, поддельные капчи, а также мог устанавливаться другими вредоносными программами.
По данным Microsoft, главным разработчиком Lumma является российский хакер, известный в сети под ником Shamel. В недавнем интервью одному из исследователей кибербезопасности этот хакер утверждал, что у него около 400 активных клиентов.
Подразделение Microsoft по борьбе с киберпреступностью успешно нарушило работу серверной инфраструктуры Lumma Stealer. Операция проводилась совместно с Министерством юстиции США, Европолом и японским Центром по борьбе с киберпреступностью. В ходе масштабного рейда было заблокировано около 2300 вредоносных доменов, которые служили основой для деятельности группировки.
В период с 16 марта по 16 мая текущего года Microsoft выявила более 394 000 систем Windows, заражённых вирусом Lumma. Захваченные домены теперь перенаправляют пользователей на специальные серверы Microsoft. Правозащитники утверждают, что инфраструктура Lumma разрушена, а деятельность группировки фактически прекращена.
Теперь Защитник Windows и другие защитные решения Microsoft стабильно обнаруживают этот практически обезвреженный вирус. Сторонние антивирусные программы, вероятно, начали сигнализировать об угрозе ещё задолго до ликвидации инфраструктуры.
