Trend Microは火曜日、Microsoftと法執行機関によってインフラに大きな混乱がもたらされた後、Lumma Stealerが再び登場したと報告しました。
Microsoftと複数国の法執行機関は5月に、「Lumma Stealerインフラの中核をなしていた」2,300の悪意あるドメインをテイクダウンおよびブロックしたと発表しました。
さらに、当局はLummaのコントロールパネルの掌握にも成功し、マルウェアへのアクセスの売買に使われていたマーケットプレイスの重要な要素を混乱させました。感染したデバイスとマルウェアのサーバー間の接続は遮断され、通信やデータの流出が防がれました。
テイクダウン前の2か月間で世界中の約40万台のWindows PCに感染していたLummaは、サイバー犯罪者が個人情報、認証情報、財務データを侵害されたシステムから盗み出すことを可能にします。
法執行機関の作戦が発表された直後、Lummaマルウェアの主開発者は、数千のドメインが押収されたことを認める声明を発表しました。
開発者はまた、サーバー上のデータが消去され、マルウェア利用者のIPを収集するためのフィッシングページが設置されたとも述べました。法執行機関はユーザーのウェブカメラへのアクセスも試みており、おそらく利用者の特定を狙ったものとみられます。
マルウェアの開発者は、法執行機関がゼロデイ脆弱性を悪用してサーバーをハッキングしたのではないかと疑っていましたが、物理的なマシンは当局がアクセスできない国にあるため押収されなかったと指摘しています。
Trend Microが収集したデータによると、サイバー犯罪者たちはインフラの復旧をすぐに開始し、テイクダウン後数週間で数百の新しいコマンド&コントロール(C&C)URLが確認されました。
広告。スクロールして続きを読む。
マルウェアの再登場後、セキュリティ企業は複数の重要な変化を観察しています。
ネットワークインフラの変更点として、Lumma Stealerはドメインの難読化にCloudflareサービスへの依存を減らしています。一部のドメインは依然としてCloudflareを利用していますが、多くはロシアを含む他のサービスプロバイダーを利用しており、これらのプロバイダーは法執行機関との協力に消極的な場合があります。
さらにTrend Microは、マルウェアが「より目立たないチャネル」を通じて配布されていることを、混乱後のキャンペーンで指摘しています。
最近のキャンペーンでは、Lummaマルウェアは偽のソフトウェアクラック、シリアルキー生成ツール、無料ソフトウェアを提供するウェブサイト経由で配布されています。また、ClickFix手法を利用するために設置された侵害済みウェブサイトもマルウェア配布に使われています。
サイバー犯罪者は、ゲームのチートを装ってマルウェアを配布するGitHubアカウントも作成しています。YouTubeやFacebookなどのソーシャルメディア投稿でも、ソフトウェアクラックの提供を装い、配布が行われています。
「Lumma Stealerの運営者が再編成し、革新を続ける能力は、世界中の組織や個人に継続的なリスクをもたらしています」とTrend Microは述べています。「これは、継続的な警戒、積極的な脅威インテリジェンス、法執行機関とサイバーセキュリティコミュニティの持続的な連携の必要性を強調しています。これがなければ、たとえ大規模なテイクダウンであっても、進化するサイバー脅威からの一時的な救済にしかならない可能性があります。」
翻訳元: https://www.securityweek.com/lumma-stealer-malware-returns-after-takedown-attempt/