Небезпечний вірус атакує користувачів Windows по всьому світу: що відомо

Стало відомо, що вірус Lumma Stealer загрожує користувачам Windows. Вірус краде паролі, криптогаманці та файли, маскується в системних процесах і поширюється через фішинг, заражені сайти та навіть блокчейн. Microsoft вже знешкодила понад 2300 пов’язаних доменів, але загроза не зникла.

Про це пише Microsoft.

Читайте також: Потужний виклик для Київстар, Vodafone і lifecell: новий оператор пропонує українцям безпрецедентно дешевий зв’язок

Так, компанія Microsoft зафіксувала стрімке зростання активності небезпечного інфостілера Lumma Stealer (відомого також як LummaC2). Це шкідливе програмне забезпечення, що працює за моделлю Malware-as-a-Service (MaaS), активно використовується кіберзлочинцями по всьому світу для крадіжки чутливої інформації з комп’ютерів під керуванням Windows.

Що робить Lumma Stealer

Lumma Stealer – це тип інфостілера, тобто шкідливого ПЗ, призначеного для крадіжки паролів і облікових даних із браузерів (Google Chrome, Mozilla Firefox, Microsoft Edge та інших на базі Chromium), криптогаманців, локальних файлів та документів, а також автозаповнених даних, включно з адресами електронної пошти, номерами карток та іншими приватними записами.

Відомо, що Lumma Stealer працює за схемою MaaS (Malware-as-a-Service) — тобто його можуть купити або орендувати будь-які зловмисники на чорному ринку.

Згідно з даними Microsoft, Lumma Stealer використовує низку складних і витончених методів доставки, зокрема:

• фішингові листи з вкладеннями;
• фальшиві оновлення програмного забезпечення;
• заражені вебсайти, які автоматично інсталюють вірус;
• блокчейн-смартконтракти, що використовуються для хостингу або запуску шкідливих скриптів.

Окрема увага приділяється техніці ClickFix — надзвичайно небезпечній тактиці, яка вводить користувача в оману, змушуючи самостійно запускати шкідливу команду.

Як працює Lumma

Після потрапляння на пристрій, Lumma Stealer:

• ін’єкує код у системні процеси для глибшого проникнення;
• використовує обфускацію (заплутування коду) та шифрування ChaCha20, щоб приховати активність від антивірусів;
• передає дані через зашифровані HTTPS-з’єднання;
• для управління використовує проксі-сервери та навіть Telegram-боти.

Як захиститися

Microsoft у співпраці з правоохоронними органами вже виключила з обігу понад 2300 доменів, які використовувалися для контролю або поширення Lumma Stealer. Однак загроза залишається актуальною.

Microsoft рекомендує як індивідуальним користувачам, так і організаціям вжити додаткових заходів безпеки:

• багатофакторна автентифікація (MFA);
• блокування запуску скриптів із невідомих джерел;
• використання захищених браузерів;
• активація режиму блокування в Defender for Endpoint;
• використання систем автоматичного виявлення загроз.

Читайте також: Як шахраї захоплюють акаунти в Telegram і шантажують людей: 4 найпопулярніші способи

Lumma Stealer — приклад сучасного, високотехнологічного шкідливого ПЗ, що поєднує складні методи доставки, стійке маскування та широкий набір функцій для крадіжки даних. Його масове поширення ще раз нагадує про необхідність регулярного оновлення систем безпеки, пильність користувачів і багаторівневий захист як на персональних, так і корпоративних пристроях.