Lumma Stealer is opnieuw actief en verspreidt zich op grote schaal via lastig te detecteren aanvallen. Beveiligingsonderzoekers zien een duidelijke toename van infecties waarbij slachtoffers via misleidende websites worden aangezet om zelf kwaadaardige opdrachten uit te voeren.
Die aanpak, bekend als ClickFix, wordt volgens Ars Technica gecombineerd met geavanceerde loader-malware die de uiteindelijke infectie mogelijk maakt.
In de huidige campagne speelt CastleLoader een belangrijke rol. Deze loader draait uitsluitend in het geheugen en laat daardoor nauwelijks sporen achter op de harde schijf. Traditionele beveiligingsoplossingen hebben daardoor meer moeite om de dreiging te herkennen. De code is bovendien sterk verhuld en de communicatie met de aansturende infrastructuur is flexibel ingericht. Zodra CastleLoader actief is, wordt Lumma Stealer als tweede fase binnengehaald.
De verspreidingsmethode is opvallend eenvoudig. Slachtoffers krijgen via een nepverificatie of foutmelding instructies om tekst te kopiëren en in het Windows-uitvoervenster te plakken. Wat eruitziet als een onschuldige controlehandeling blijkt in werkelijkheid het starten van schadelijke code. Onderzoekers wijzen erop dat deze tactiek vooral werkt omdat gebruikers gewend zijn geraakt aan technische workarounds en verificatiestappen, waardoor de drempel om instructies op te volgen laag is.
Na installatie richt Lumma zich op het verzamelen van gevoelige informatie. Het gaat om opgeslagen wachtwoorden, browsergegevens, documenten, cryptowalletinformatie en authenticatiegegevens. Ook systeeminformatie wordt buitgemaakt, waarmee aanvallers slachtoffers kunnen profileren of gerichter vervolgacties kunnen uitvoeren. De gestolen data kan worden ingezet voor verdere aanvallen of worden doorverkocht binnen criminele netwerken.
Snelle wederopbouw van crimineel netwerk
Opvallend is dat de infrastructuur achter de malware opnieuw snel is opgebouwd na eerdere verstoringen door opsporingsdiensten. Door gebruik te maken van wisselende domeinen en soms legitieme online diensten om bestanden te hosten, weten de operators detectie te bemoeilijken en wantrouwen te beperken.
Lumma verscheen enkele jaren geleden op cybercrimefora als dienstmodel voor infostealing. Afnemers konden tegen betaling gebruikmaken van een kant-en-klare infrastructuur om gegevens te stelen. Internationale acties legden eerder een deel van dat netwerk stil, maar de huidige opleving laat zien dat het ecosysteem zich relatief eenvoudig herstelt.
De terugkeer van Lumma onderstreept dat het verstoren van infrastructuur niet automatisch het einde betekent van een malwarecampagne. Zolang social engineering effectief blijft en technische drempels laag zijn, kunnen dreigingsactoren hun activiteiten hervatten. Voor organisaties en gebruikers blijft het daarom cruciaal om alert te zijn op onverwachte instructies die vragen om handmatige systeemacties.