Einführung in Lumma Stealer Malware
Schadhafte Akteure verwenden gefälschte Captcha-Aufforderungen, um dateilose Lumma Stealer Malware zu verbreiten, wie die Forschung des Cybersicherheitsunternehmens DNSFilter zeigt. Zunächst auf einer griechischen Bankwebsite entdeckt, fordert die Aufforderung Windows-Nutzer auf, den angezeigten Text in das Ausführen-Dialogfeld zu kopieren und einzufügen, bevor sie die Eingabetaste drücken.
Interaktion mit gefälschten Captchas
DNSFilter berichtet, dass die Kunden des Unternehmens innerhalb von drei Tagen 23 Mal mit dem gefälschten Captcha interagiert haben und dass 17 % der Personen, die der Aufforderung begegneten, die Schritte auf dem Bildschirm abgeschlossen haben, was zu einem versuchten Malware-Versand führte.
Funktionalität von Lumma Stealer
Mikey Pruitt, Global Partner Evangelist von DNSFilter, erklärte, dass Lumma Stealer eine Form von Malware ist, die ein infiziertes Gerät nach Anmeldeinformationen und anderen sensiblen Daten durchsucht. „Lumma Stealer durchforstet sofort das System nach allem, was es monetarisieren kann – im Browser gespeicherte Passwörter und Cookies, gespeicherte 2FA-Token, Daten von Kryptowährungs-Wallets, Remote-Access-Anmeldeinformationen und sogar Passwort-Manager-Vaults“, sagte er gegenüber Decrypt.
Verwendung gestohlener Daten
Pruitt stellte klar, dass die schadhaften Akteure die gestohlenen Daten für eine Vielzahl von Zwecken verwenden, die in der Regel auf finanziellen Gewinn abzielen, wie Identitätsdiebstahl und den Zugriff auf „Online-Konten für finanziellen Diebstahl oder betrügerische Transaktionen“ sowie den Zugang zu Kryptowährungs-Wallets.
Verbreitung und Gefahren von Lumma Stealer
„Während wir nicht sagen können, wie viel durch diesen einen Kanal verloren gegangen sein könnte, kann diese Bedrohung auch auf nicht bösartigen Seiten existieren“, erklärte er. „Das macht es unglaublich gefährlich und wichtig, darauf zu achten, wenn die Dinge verdächtig erscheinen.“
Lumma Stealer ist nicht nur Malware, sondern auch ein Beispiel für Malware-as-a-Service (MaaS), von dem Sicherheitsfirmen berichten, dass es in den letzten Jahren für einen Anstieg von Malware-Angriffen verantwortlich ist.
Aktuelle Entwicklungen und Auswirkungen
Laut dem Malware-Analysten von ESET, Jakub Tomanek, entwickeln die Betreiber hinter Lumma Stealer dessen Funktionen, verfeinern die Fähigkeit, Malware-Erkennung zu umgehen, und registrieren Domains, um die Malware zu hosten. Er sagte gegenüber Decrypt: „Ihr Hauptziel ist es, den Dienst betriebsbereit und profitabel zu halten, indem sie monatliche Abonnementgebühren von Partnern sammeln – effektiv Lumma Stealer als nachhaltiges Cyberkriminelles Geschäft betreiben.“
Im Mai beschlagnahmte das US-Justizministerium fünf Internetdomains, die von schadhaften Akteuren verwendet wurden, um Lumma Stealer Malware zu betreiben, während Microsoft privat 2.300 ähnliche Domains stilllegte. Dennoch haben Berichte gezeigt, dass Lumma Stealer seit Mai wieder aufgetaucht ist, wobei eine Analyse von Trend Micro im Juli zeigte, dass „die Anzahl der angegriffenen Konten zwischen Juni und Juli stetig auf ihre üblichen Werte zurückkehrte“.
Kosten und Anziehungskraft von Lumma Stealer
„Verfügbar auf Dark-Web-Foren für nur 250 US-Dollar, zielt dieser ausgeklügelte Informationsdiebstahl speziell auf das ab, was Cyberkriminellen am wichtigsten ist – Kryptowährungs-Wallets, im Browser gespeicherte Anmeldeinformationen und Zwei-Faktor-Authentifizierungssysteme“, sagte Nathaniel Jones, der VP für Sicherheit & KI-Strategie bei Darktrace.
Jones sagte gegenüber Decrypt, dass das Ausmaß der Lumma Stealer-Angriffe „alarmierend“ gewesen sei, wobei 2023 geschätzte Verluste von 36,5 Millionen US-Dollar sowie 400.000 infizierte Windows-Geräte innerhalb von zwei Monaten zu verzeichnen waren. „Aber die eigentliche Sorge sind nicht nur die Zahlen – es ist die mehrschichtige Monetarisierungsstrategie“, sagte er.
Folgen und internationale Dimension
„Lumma stiehlt nicht nur Daten, sondern erntet systematisch Browser-Historien, Systeminformationen und sogar AnyDesk-Konfigurationsdateien, bevor alles an von Russland kontrollierte Kommandozentren exfiltriert wird.“
Die Bedrohung durch Lumma Stealer wird dadurch verstärkt, dass gestohlene Daten oft direkt in „Traffer-Teams“ eingespeist werden, die sich auf den Diebstahl und den Wiederverkauf von Anmeldeinformationen spezialisiert haben. „Dies schafft einen verheerenden Kaskadeneffekt, bei dem eine einzige Infektion zu Bankkonten-Hijacking, Kryptowährungsdiebstahl und Identitätsbetrug führen kann, der lange nach dem ursprünglichen Verstoß anhält“, fügte Jones hinzu.
Während Darktrace einen russischen Ursprung oder ein Zentrum für Lumma-bezogene Angriffe vorschlug, stellte DNSFilter fest, dass die schadhaften Akteure, die den Malware-Dienst nutzen, möglicherweise aus mehreren Gebieten operieren. „Es ist üblich, dass solche bösartigen Aktivitäten Einzelpersonen oder Gruppen aus mehreren Ländern einbeziehen“, sagte Pruitt und fügte hinzu, dass dies insbesondere „mit der Nutzung internationaler Hosting-Anbieter und Malware-Verteilungsplattformen“ verbreitet ist.
