Microsoft виявила та знищила інфостілера Lumma Stealer, розробленого росіянином

Microsoft виявила та знищила інфостілера Lumma Stealer, розробленого росіянином

13 травня Microsoft спільно з міжнародними партнерами повідомила про ліквідацію інфраструктури Lumma Stealer — одного з найбільш розповсюджених інфостілерів у середовищі кіберзлочинців.

Цю інформацію оприлюднив Стівен Масада, заступник генерального юрисконсульта підрозділу цифрових злочинів Microsoft.

Ця програма використовувалася для викрадення паролів, банківських реквізитів, криптовалютних гаманців, а також доступу до облікових записів. За даними компанії, цей інструмент застосовували проти організацій, навчальних закладів, медичних установ та критично важливої інфраструктури в різних країнах.

Теплова карта, що демонструє глобальне поширення заражень та виявлень шкодочинного ПЗ Lumma Stealer на пристроях з Windows. (Джерело: Microsoft)

Хто стоїть за Lumma і як працює програмне забезпечення

Розробником Lumma є росіянин, відомий під псевдонімом Shamel. У листопаді 2023 року на інтерв’ю дослідник “g0njxa” повідомив, що у нього було близько 400 активних клієнтів. Він створив цілий бренд Lumma, що має логотип у вигляді птаха, який символізує “мир і легкість”, і слоган: “З нами заробляти легко”.

Стівен Масада зазначає, що Lumma є типовим прикладом Malware-as-a-Service. З 2022 року його продавали через підпільні російськомовні форуми та Telegram. Покупці могли налаштовувати персональні версії: змінювати конфігурації, шифрувати код, стежити за зібраними даними через зручну адміністративну панель. Lumma маскувався під легітимні сервіси (наприклад, Microsoft або Booking.com) та поширювався через фішингові електронні листи і рекламу з вбудованим шкідливим кодом. Microsoft стверджує, що Lumma використовувала група Octo Tempest (Scattered Spider).

Лише за два місяці — з березня по травень 2025 року — Microsoft виявила 394 тисячі заражених Windows-пристроїв у всьому світі.

Про операцію Microsoft

13 травня 2025 року підрозділ цифрових злочинів Microsoft (DCU) отримав судове рішення в окружному суді Північної Джорджії, США, яке дозволило компанії захопити 2300 доменів, пов’язаних з інфраструктурою Lumma. Одночасно Міністерство юстиції США розпочало операцію з блокування серверів керування інфостілером та зупинило діяльність підпільних маркетплейсів, де пропонувалася програма. В операції США брали участь правоохоронні органи Європи та Японії, а також компанії ESET, Bitsight, Lumen, Cloudflare, CleanDNS та GMO Registry.

Більше 1300 доменів переадресували на “sinkholes” — спеціалізовані сервери Microsoft, які дозволяють безпечно перехоплювати запити від інфікованих систем, отримувати технічні дані про атаки та ідентифікувати типи викрадених даних. Це не лише захищає користувачів, а й надає змогу компанії та її партнерам розуміти динаміку поширення загрози.

Проте Microsoft попереджає, що Lumma може бути перезапущена під новою назвою, або його місце може зайняти інший інфостілер.

Раніше повідомлялося, що дані українських власників вживаних автомобілів роками були у відкритому доступі. Також з’явилися новини про те, що північнокорейські айтішники під виглядом українців працюють в Європі.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *