Microsoft предупредила, что вредоносное ПО для кражи информации под названием «Lumma» заразило более 394 тысяч систем Windows по всему миру всего за два месяца, с 16 марта по 16 мая 2025 года.
Компания утверждает, что ПО, также называемое LummaC2, представляет собой вредонос как услугу (MaaS) и разработано Storm-2477. Lumma используется киберпреступниками как инструмент для кражи конфиденциальной информации из таких приложений, как браузеры, криптовалютные кошельки и другие.
Технический гигант объяснил, как Lumma распространялась с помощью различных вредоносных кампаний, включая фишинговые письма, вредоносную рекламу (поддельные объявления для распространения вредоносного ПО), скрытые загрузки на взломанных веб-сайтах, трояны и вводящие в заблуждение поддельные CAPTCHA.
Lumma позволяет красть учётные данные браузера, файлы cookie и данные автозаполнения, активно ищет файлы кошельков, расширения браузеров и локальные ключи, связанные с такими кошельками, как MetaMask, Electrum и Exodus, нацелен на данные из различных виртуальных частных сетей (VPN), почтовых клиентов, FTP-клиентов и приложений Telegram, собирает файлы, найденные в профилях пользователей и других распространённых каталогах, особенно с расширениями .pdf, .docx или .rtf, собирает телеметрию хоста, такую как информация о процессоре, версии ОС, локали системы и установленных приложениях для адаптации будущих эксплойтов или профилирования жертв.
В случае с вредоносными программами для обмана жертв использовались поддельные «загрузки Notepad++» или «обновления Chrome». Чтобы избежать таких ловушек, пользователям рекомендуется убедиться, что они загружают сервисы только с официальных сайтов.
Наибольшую активность вредонос демонстрирует в Европе, восточной части США и Индии.
Microsoft подтвердила, что Defender теперь способен обнаруживать LummaC2. Он будет помечен следующими троянами или как подозрительное поведение:
поведение:Win32/LuammaStealer,
троян:JS/LummaStealer,
троянец:MSIL/LummaStealer,
троян:Win32/LummaStealer,
троян:Win64/LummaStealer,
TrojanDropper:Win32/LummaStealer,
троян:PowerShell/Powdow,
троян:Win64/Shaolaod,
поведение:Win64/Shaolaod,
поведение:Win32/MaleficAms,
поведение:Win32/ClickFix,
поведение:Win32/SuspClickFix,
троян:Win32/ClickFix,
троян:Script/ClickFix,
поведение:Win32/RegRunMRU,
троян:HTML/FakeCaptcha,
троян:Script/SuspDown.
То же самое касается Defender для Office 365 и Defender for Endpoint.
Ранее исследователь представил новый инструмент под названием Defendnot, который способен отключить защитника Microsoft Defender на устройствах Windows. Он регистрирует поддельный антивирусный продукт, даже если настоящий антивирус не установлен в системе.
