Az ál-Telegram Premium vírusáradata: így védd meg magad

Lumma Stealer: lopás kattintás nélkül

Az áldozatok gépén a start.exe futtatása után a vírus személyes adatokat, böngészőben tárolt jelszavakat, kriptotárca-információkat és rendszeradatokat gyűjt be, amivel nő az adathalászat és a személyazonosság-lopás esélye is. A fertőzés az úgynevezett drive-by download módszerrel történik, vagyis önkényesen települ mindenféle jóváhagyás nélkül.

A kártékony program egy speciális rejtési, úgynevezett kriptor technikát alkalmaz, így a hagyományos vírusirtók nem találják meg. Több Windows API-funkció segítségével képes fájlokat módosítani, a rendszerleíró-adatbázist átírni, vágólapot figyelni, újabb káros programokat letölteni vagy elrejteni magát a rendszerben.

Rejtett kommunikáció és álca

A Lumma Stealer a Google nyilvános DNS-eit használva kommunikál, így megkerülheti a belső hálózati szűrőket. Kapcsolatba lép valódi Telegram és Steam Közösség (Steam Community) oldalakkal, miközben titkos domainekre továbbítja az ellopott adatokat, hogy elkerülje a lebukást. A fertőzés nyomait kifejezetten ügyesen tünteti el: több véletlenszerűen elnevezett, titkosított fájlt helyez el a %TEMP% mappában, amelyeket utána átnevez és futtat, ezzel nehezítve a felismerést.

A malware Sleep-funkcióval késlelteti a működését, a DLL-eket pedig észrevétlenül tölti be a LoadLibraryExW segítségével, hogy a biztonsági szakértők ne vegyék könnyen észre.

Így védekezz!

A védekezéshez fejlett biztonsági szoftverek szükségesek, amelyek a Lumma Stealerhez hasonló gyanús tevékenységeket is felismerik. Fontos blokkolni a gyanús domaineket, szigorú letöltési korlátokat alkalmazni, és minden rendszerhez kétlépcsős azonosítást használni. Az is sokat segít, ha a jelszavakat gyakran cseréled, és folyamatosan figyeled a fiókjaidat gyanús aktivitás után kutatva.

2025, adrienne, www.techradar.com alapján