Lumma Stealer: lopás kattintás nélkül
Az áldozatok gépén a start.exe futtatása után a vírus személyes adatokat, böngészőben tárolt jelszavakat, kriptotárca-információkat és rendszeradatokat gyűjt be, amivel nő az adathalászat és a személyazonosság-lopás esélye is. A fertőzés az úgynevezett drive-by download módszerrel történik, vagyis önkényesen települ mindenféle jóváhagyás nélkül.
A kártékony program egy speciális rejtési, úgynevezett kriptor technikát alkalmaz, így a hagyományos vírusirtók nem találják meg. Több Windows API-funkció segítségével képes fájlokat módosítani, a rendszerleíró-adatbázist átírni, vágólapot figyelni, újabb káros programokat letölteni vagy elrejteni magát a rendszerben.
Rejtett kommunikáció és álca
A Lumma Stealer a Google nyilvános DNS-eit használva kommunikál, így megkerülheti a belső hálózati szűrőket. Kapcsolatba lép valódi Telegram és Steam Közösség (Steam Community) oldalakkal, miközben titkos domainekre továbbítja az ellopott adatokat, hogy elkerülje a lebukást. A fertőzés nyomait kifejezetten ügyesen tünteti el: több véletlenszerűen elnevezett, titkosított fájlt helyez el a %TEMP% mappában, amelyeket utána átnevez és futtat, ezzel nehezítve a felismerést.
A malware Sleep-funkcióval késlelteti a működését, a DLL-eket pedig észrevétlenül tölti be a LoadLibraryExW segítségével, hogy a biztonsági szakértők ne vegyék könnyen észre.
Így védekezz!
A védekezéshez fejlett biztonsági szoftverek szükségesek, amelyek a Lumma Stealerhez hasonló gyanús tevékenységeket is felismerik. Fontos blokkolni a gyanús domaineket, szigorú letöltési korlátokat alkalmazni, és minden rendszerhez kétlépcsős azonosítást használni. Az is sokat segít, ha a jelszavakat gyakran cseréled, és folyamatosan figyeled a fiókjaidat gyanús aktivitás után kutatva.
