2300 доменов сожжены — но ядро устояло. Lumma вернулась: злее, тише, опаснее
NewsMakerОперация по ликвидации вредоносной платформы оказалась бесполезной?
После масштабной операции правоохранительных органов в мае, в результате которой были изъяты более 2300 доменов и часть инфраструктуры, вредоносная платформа Lumma вновь набирает обороты. Несмотря на серьёзный удар, полностью сервис так и не был закрыт — операторы сразу же отреагировали на случившееся и начали восстановление.
Согласно данным Trend Micro , речь идёт о восстановлении деятельности одного из наиболее устойчивых и прибыльных сервисов в модели malware-as-a-service (MaaS) , специализирующегося на краже данных. Вскоре после ликвидации инфраструктуры представители Lumma заявили на теневых форумах, что основной сервер платформы формально не попал под контроль силовиков, хотя и был удалён дистанционно. На том же форуме они объявили о начале работ по возрождению сервиса.
Спустя несколько недель телеметрия Trend Micro зафиксировала активное восстановление инфраструктуры: количество управляющих доменов увеличивалось, вредоносный трафик вновь стал масштабным. Аналитики компании отмечают, что уровень активности Lumma почти вернулся к значениям, наблюдавшимся до майской зачистки.
В новой версии платформы злоумышленники отказались от использования облачной инфраструктуры Cloudflare, которую часто блокируют по запросам правоохранительных органов. Вместо неё они теперь используют сервисы Selectel — российского провайдера, чья юрисдикция затрудняет проведение аналогичных изъятий и блокировок. Как и прежде, для сокрытия командного трафика используются легитимные хостинги, что позволяет вредоносу дольше оставаться незамеченным.
На текущем этапе Lumma вновь активно распространяется через сразу четыре канала доставки. Это подтверждает не только возвращение инфраструктуры, но и то, что разработчики поддерживают полноценную кампанию по заражению новых систем.
Возвращение Lumma на киберпреступный рынок — очередное напоминание о том, что даже крупные международные спецоперации не гарантируют остановки распространителей вредоносов , если за ними не следуют персонализированные уголовные меры.
После масштабной операции правоохранительных органов в мае, в результате которой были изъяты более 2300 доменов и часть инфраструктуры, вредоносная платформа Lumma вновь набирает обороты. Несмотря на серьёзный удар, полностью сервис так и не был закрыт — операторы сразу же отреагировали на случившееся и начали восстановление.
Согласно данным Trend Micro , речь идёт о восстановлении деятельности одного из наиболее устойчивых и прибыльных сервисов в модели malware-as-a-service (MaaS) , специализирующегося на краже данных. Вскоре после ликвидации инфраструктуры представители Lumma заявили на теневых форумах, что основной сервер платформы формально не попал под контроль силовиков, хотя и был удалён дистанционно. На том же форуме они объявили о начале работ по возрождению сервиса.
Спустя несколько недель телеметрия Trend Micro зафиксировала активное восстановление инфраструктуры: количество управляющих доменов увеличивалось, вредоносный трафик вновь стал масштабным. Аналитики компании отмечают, что уровень активности Lumma почти вернулся к значениям, наблюдавшимся до майской зачистки.
В новой версии платформы злоумышленники отказались от использования облачной инфраструктуры Cloudflare, которую часто блокируют по запросам правоохранительных органов. Вместо неё они теперь используют сервисы Selectel — российского провайдера, чья юрисдикция затрудняет проведение аналогичных изъятий и блокировок. Как и прежде, для сокрытия командного трафика используются легитимные хостинги, что позволяет вредоносу дольше оставаться незамеченным.
На текущем этапе Lumma вновь активно распространяется через сразу четыре канала доставки. Это подтверждает не только возвращение инфраструктуры, но и то, что разработчики поддерживают полноценную кампанию по заражению новых систем.
- Фейковые взломы и кейгены. Через рекламу в поисковых системах и манипулирование результатами выдачи пользователи попадают на поддельные сайты. Там реализованы системы анализа трафика (TDS), которые определяют характеристики системы жертвы, прежде чем загрузить downloader Lumma.
- ClickFix-страницы. Взломанные сайты отображают поддельные CAPTCHA, которые вынуждают пользователя вручную запустить PowerShell-команды. Эти скрипты загружают вредонос в память напрямую, в обход дисковой записи и антивирусных сканеров.
- GitHub-репозитории. Атакующие размещают сгенерированные ИИ описания читов для игр, добавляя в репозитории вредоносные исполняемые файлы, например "TempSpoofer.exe", или архивы с аналогичным содержимым. Так создаётся иллюзия открытого проекта.
- YouTube и Facebook. Через видео и посты распространяется реклама якобы взломанного ПО. В описаниях — ссылки на внешние сайты, которые размещают нагрузку Lumma. Иногда такие ссылки ведут через платформу sites.google.com, чтобы вызвать больше доверия у жертвы.
Возвращение Lumma на киберпреступный рынок — очередное напоминание о том, что даже крупные международные спецоперации не гарантируют остановки распространителей вредоносов , если за ними не следуют персонализированные уголовные меры.