U oblasti sajber sigurnosti došlo je do značajnog porasta malicioznog softvera koji krade informacije, a Lumma se pojavila kao jedna od najrasprostranjenijih i najsofisticiranijih prijetnji usmjerenih na Windows sisteme širom svijeta.
Ovaj kradljivac informacija zasnovan na C++ programskom jeziku brzo je stekao popularnost na ilegalnim tržištima, etablirajući se kao zastrašujuća operacija malicioznog softvera kao usluge (MaaS) koja je zarazila stotine hiljada računara širom svijeta.
Sofisticirani višefazni lanac infekcije i napredne tehnike izbjegavanja ovog malicioznog softvera učinili su ga stalnim izazovom za istraživače sigurnosti i organizacije.
Lummin uspon do istaknutosti može se pripisati njegovim sveobuhvatnim mogućnostima krađe podataka i robusnoj distribucijskoj mreži.
Zlonamjerni softver sistematski cilja baze podataka preglednika, kriptovalutne novčanike , korisničke podatke i osjetljive dokumente, što ga čini posebno opasnim i za pojedinačne korisnike i za korporativna okruženja.
Njegovi operateri su iskoristili različite vektore napada, uključujući phishing kampanje, maliciozne priloge i kompromitovane web stranice, kako bi postigli široku distribuciju u različitim geografskim regijama.
.webp)
Analitičari WithSecure-a identifikovali su Lummu tokom analize uzoraka otvorenog koda između februara i marta 2025. godine, otkrivajući sofisticirani proces zaraze maliciozni softverom u tri faze.
Istraživači su se tokom svojih istraživanja više puta susreli s ovom prijetnjom, primjećujući njenu sve veću rasprostranjenost u okruženju prijetnji.
Njihova sveobuhvatna analiza otkrila je složeni lanac infekcije malicioznim softverom, počevši od .NET/C# loadera koji služi kao početna ulazna tačka za sekvencu napada.
Razmjere Lumminog utjecaja postale su očigledne kada je Microsoftov tim za obavještajne podatke o prijetnjama izvijestio da su između marta i maja 2025. godine identifikovali preko 394.000 Windows računara širom svijeta zaraženih ovim kradljivcem virusa.
Ova ogromna stopa zaraze podstakla je koordiniranu međunarodnu akciju provođenja zakona, pri čemu su Ministarstvo pravde SAD-a, Europol i japanski Centar za sajber kriminal uspješno zaplijenili Lumma-inu kontrolnu ploču i infrastrukturu širom svijeta, iako su hakeri pokazali znakove kontinuirane aktivnosti uprkos ovom poremećaju.
Napredni mehanizmi izbjegavanja i infekcije
Lummina tehnička sofisticiranost leži u njenom višeslojnom pristupu izbjegavanju otkrivanja i analize.
maliciozni softver koristi proces zaraze u tri faze koji počinje s upakovanom .NET izvršnom datotekom koja služi kao početni program za učitavanje.
.webp)
Ova prva faza obavlja kritične provjere sistema, uključujući validaciju DOS i PE zaglavlja putem specifičnih poređenja bajtova: –
// Stage 1 validation checks
BitConverter.ToInt16(fileBytes, 0) == 23117 // MZ header check
BitConverter.ToUInt32(fileBytes, 60) == 17744 // PE header validationProgram za učitavanje zatim izdvaja i dešifruje podatke druge faze iz određenog dijela (.CODE) koristeći prilagođenu rutinu za dešifrovanje, prije nego što iskoristi funkciju Windows API-ja CallWindowProcAkao vektor izvršenja za prijenos kontrole na dešifrirani shellcode.
.webp)
Druga faza demonstrira napredne tehnike izdubljivanja procesa, stvarajući suspendovani proces samog sebe i sistematski zamjenjujući njegov memorijski sadržaj.
Maliciozni softver dinamički rješava kritične Windows API-je parsiranjem Process Environment Block (PEB) i Export Address Tables, izbjegavajući statičke ovisnosti uvoza koje bi mogle aktivirati sigurnosna rješenja .
.webp)
Možda najznačajnije, Lumma u svojoj trećoj fazi implementira tehniku “Nebeske kapije”, prelazeći između 32-bitnih i 64-bitnih načina izvršavanja kako bi direktno izvršavala sistemske pozive.
.webp)
Ovaj sofisticirani pristup uključuje daleke skokove na različite segmente koda i direktno pozivanje sistemskih poziva, posebno korištenje NtRaiseHardErrorza prikazivanje obmanjujućih dijaloga upozorenja.
Maliciozni softver uključuje više funkcija protiv analize, uključujući provjeru samointegriteta koja upoređuje 20 bajtova memorije pokrenutog procesa s originalnom datotekom kako bi otkrila pokušaje raspakivanja.
Pored toga, vrši provjeru jezika posebno ciljajući neruske sisteme pozivanjem GetUserDefaultUILanguagei upoređivanjem rezultata sa identifikatorom ruskog jezika (0x419), demonstrirajući njegovu ciljanu prirodu i potencijalnu pripisivanje ruskogovornim prijetnjama.
Izvor: CyberSecurityNews
