Kyberrikollisten uusi taktiikka
Kyberrikolliset hyödyntävät väärennettyjä Captcha-kehotteita levittääkseen tiedostovapaata Lumma Stealer -haittaohjelmaa, kertoo kyberturvallisuusyritys DNSFilterin tutkimus. Ensimmäisen kerran haittaohjelma havaittiin kreikkalaisella pankkisivustolla, jossa kehotettiin Windows-käyttäjiä kopioimaan ja liittämään kehotteen Suorita-valintaikkunaan ja painamaan Enter.
Haittaohjelman leviämisen tilastot
DNSFilter raportoi, että yrityksen asiakkaat vuorovaikuttivat väärennetyn Captchan kanssa 23 kertaa kolmen päivän aikana, ja 17 % kehotteen kohdanneista suoritti sen vaiheet, mikä johti haittaohjelman toimitusyritykseen.
Lumma Stealerin toiminta
DNSFilterin globaalin kumppaniekspressin, Mikey Pruittin, mukaan Lumma Stealer on haittaohjelmatyyppi, joka etsii tartunnan saaneelta laitteelta käyttäjätunnuksia ja muuta arkaluontoista tietoa.
”Lumma Stealer käy heti läpi järjestelmän etsiessään kaikkea, mitä se voi rahastaa – selaimessa tallennettuja salasanoja ja evästeitä, tallennettuja 2FA-tokeneita, kryptovaluuttalompakkojen tietoja, etäyhteyskäyttäjätunnuksia ja jopa salasanojen hallintaohjelmien holveja,”
hän kertoi Decryptille.
Taloudelliset seuraukset
Pruitt selvensi, että kyberrikolliset käyttävät varastettua tietoa monenlaisiin tarkoituksiin, jotka yleensä johtavat taloudelliseen hyötyyn, kuten henkilöllisyysvarkauksiin ja pääsyyn verkkotileihin taloudellista varkautta tai petollisia tapahtumia varten, sekä pääsyyn kryptovaluuttalompakoihin.
MaaS-malli ja sen vaikutukset
Lumma Stealer ei ole vain haittaohjelma, vaan esimerkki Malware-as-a-Service (MaaS) -mallista, jonka turvallisuusyritykset ovat raportoineet olevan vastuussa haittaohjelmahyökkäysten lisääntymisestä viime vuosina. ESETin haittaohjelma-analyytikko Jakub Tomanek kertoi, että Lumma Stealerin taustalla olevat operaattorit kehittävät sen ominaisuuksia, parantavat sen kykyä välttää haittaohjelmatunnistusta ja rekisteröivät verkkotunnuksia haittaohjelman isännöimiseen.
”Heidän ensisijainen tavoitteensa on pitää palvelu toiminnassa ja kannattavana, keräten kuukausittaisia tilausmaksuja kumppaneilta – käytännössä pyörittäen Lumma Stealeria kestävässä kyberrikollisessa liiketoiminnassa,”
hän kertoi Decryptille.
Uudet uhkat ja toimet
Toukokuussa Yhdysvaltain oikeusministeriö takavarikoi viisi verkkotunnusta, joita kyberrikolliset käyttivät Lumma Stealer -haittaohjelman toimittamiseen, kun taas Microsoft poisti yksityisesti 2 300 vastaavaa verkkotunnusta. Kuitenkin raportit ovat paljastaneet, että Lumma Stealer on ilmestynyt uudelleen toukokuun jälkeen, ja Trend Micron heinäkuun analyysi osoitti, että ”kohdistettujen tilien määrä palasi tasaisesti tavalliselle tasolleen” kesä- ja heinäkuun välillä.
Taloudelliset menetykset ja strategiat
Osana Lumma Stealerin vetovoimaa on se, että tilaukset, jotka ovat usein kuukausittaisia, ovat edullisia suhteessa mahdollisiin voittoihin.
”Saatavilla pimeän verkon foorumeilla jopa 250 dollarilla, tämä monimutkainen tietojen varastaja kohdistaa erityisesti siihen, mikä on kyberrikollisille tärkeintä – kryptovaluuttalompakot, selaimessa tallennetut käyttäjätunnukset ja kaksivaiheiset todennusjärjestelmät,”
sanoi Nathaniel Jones, Darktracen turvallisuus- ja tekoälystrategian varapresidentti.
Jones kertoi Decryptille, että Lumma Stealerin hyväksikäytön laajuus on ollut ”huolestuttavaa”, ja vuonna 2023 arvioidut menetykset ovat olleet 36,5 miljoonaa dollaria, ja 400 000 Windows-laitetta on tarttunut kahden kuukauden aikana.
Yhteenveto
Vaikka Darktrace ehdotti Lumma-liittyvien hyväksikäytösten venäläistä alkuperää tai keskusta, DNSFilter huomautti, että haittaohjelmapalvelua hyödyntävät kyberrikolliset voivat toimia useilta alueilta.
”On yleistä, että tällaisiin haitallisiin toimintoihin osallistuu yksilöitä tai ryhmiä useista maista,”
Pruitt sanoi, lisäten, että tämä on erityisen yleistä kansainvälisten isännöintipalveluiden ja haittaohjelmien jakelualustojen käytön kanssa.
