Lumma Stealerの活動が崩壊しつつあり、最近のドクシングキャンペーンでは、マルウェアの開発や管理に関与しているとされる人物が標的となりました。
このドクシングキャンペーンの後、これら主要メンバーの機密情報が漏洩しました。この攻撃は、サイバー犯罪の競合者によって実行されたとみられています。トレンドマイクロのレポートによるとそう報告されています。
Lumma Stealerは最も悪名高い情報窃取型マルウェアの一つで、2022年に初めて確認されました。そのトップの地位が「摘発作戦や地下での暴露キャンペーンの主要な標的」となったと、トレンドマイクロの分析は指摘しています。
9月には、セキュリティ企業がLumma Stealerに関連する新たなコマンド&コントロール(C2)インフラの活動の減少と、標的となるエンドポイント数の減少を確認しました。
トレンドマイクロは、これはLumma Stealerの運営に関与しているとされる5人の個人に焦点を当てた地下での暴露キャンペーンと一致すると述べています。
特定された人物の役割には、運営管理を担当する者や、マルウェアの難読化のためのクライプター開発など、より技術的な役割を担う者が含まれていました。彼らの情報は「Lumma Rats」というウェブサイトで共有されました。
共有された情報には、パスポート番号、銀行口座情報、メールアドレス、各種オンラインプロフィールへのリンクなどが含まれていました。
「この暴露キャンペーンには脅迫や、サイバー犯罪コミュニティ内での裏切りの告発、Lumma Stealerチームが顧客の運用セキュリティよりも利益を優先したという主張が伴っていました。キャンペーンの一貫性と深さは、内部関係者による知識や、侵害されたアカウントやデータベースへのアクセスを示唆しています」とトレンドマイクロの分析は述べています。
この情報は独立して検証されていないことが指摘されています。
ドクシングは昨年8月から2025年10月の間に行われました。
Lumma Stealerの拡散はTelegramの利用によって加速しており、ドクシングの一環として、グループの代表者が地下フォーラムでTelegramアカウントが盗まれたと投稿しました。
Telegramアカウントは9月17日に侵害されたとされており、これにより顧客との連絡や運営の調整がさらに困難になりました。
Lumma Stealerが大きな混乱に直面する中、ユーザーたちは現在、フォーラムやTelegramチャンネルで代替の情報窃取ツールについて議論しています。
トレンドマイクロは、VidarやStealCが主要な代替オプションとして浮上しており、多くのユーザーがLumma Stealerの不安定さやサポート喪失を理由にこれらのプラットフォームへ移行していると報告しています。
Amadeyなどのペイ・パー・インストール(PPI)サービスの動向にも変化が見られます。PPIは情報窃取型マルウェアの配布によく利用されてきましたが、最近のLummaの活動低下に伴い、Amadeyの需要も減少しています。
2024年5月、Microsoftと法執行機関のパートナーはLumma Stealerのインフラを妨害し、2000以上のドメインをブロックしました。この作戦では、39万4千台の感染したWindowsコンピューターが特定され、Lummaのコントロールパネルも押収されました。
翻訳元: https://www.infosecurity-magazine.com/news/lumma-stealer-developers-doxxed/
