Lumma zararlı yazılımı yeniden faaliyette: Altyapısını hızla toparlayarak eski seviyelerine ulaştı
Mayıs ayında binlerce alan adı ve sunucu altyapısının ele geçirilmesiyle büyük darbe alan Lumma infostealer zararlı yazılımı, kısa süre içinde toparlanarak yeniden aktif hale geldi. Trend Micro’nun analizlerine göre, Lumma şu anda çoklu platformlarda zararlı faaliyetlerini sürdürüyor ve eski etkinlik seviyelerine yaklaştı.
Lumma isimli infostealer (bilgi çalan) zararlı yazılımı, Mayıs ayında gerçekleştirilen geniş çaplı kolluk kuvveti operasyonunun ardından yeniden faaliyete geçti. Operasyon kapsamında 2.300 alan adı ve altyapı unsurları ele geçirilmişti.
Yazılım hizmet olarak sunulan bir modelle (Malware-as-a-Service - MaaS) dağıtılan Lumma, operasyon sonrasında tamamen kapanmasa da büyük bir kesintiye uğramıştı. Haziran ayı başında yapılan analizler, Lumma faaliyetlerinin durduğunu değil, sadece yavaşladığını ortaya koydu.
Lumma'nın yöneticileri, XSS forumları üzerinden yaptıkları açıklamada merkezi sunucularının ele geçirilmediğini, ancak uzaktan silindiğini belirtti. Aynı mesajda, yeniden yapılanma sürecinin başladığı duyuruldu.
Siber suç çevresinde yeniden güven kazandı
Trend Micro tarafından yayımlanan son rapora göre, Lumma zararlı yazılımı operasyonları neredeyse eski yoğunluğuna ulaştı. Şirketin ağ telemetrisi verileri, zararlı altyapının birkaç hafta içinde yeniden etkin hale getirildiğini gösteriyor.
Raporda, "Lumma Stealer ve ilişkili altyapıya yönelik kolluk kuvveti müdahalesinin ardından, Lumma'nın operasyonlarında açık bir yeniden yapılanma süreci gözlemlendi" ifadeleri yer aldı.
Yeni altyapı ve farklı sağlayıcılar
Lumma, geçmişte olduğu gibi yine yasal bulut altyapılarını kötüye kullanarak trafiğini gizlemeye devam ediyor. Ancak artık Cloudflare yerine, genellikle Rusya merkezli Selectel gibi alternatif sağlayıcılara yönelmiş durumda.
Dört farklı bulaşma yöntemi
Trend Micro uzmanları, Lumma’nın şu anda dört ana dağıtım kanalı üzerinden bulaşma gerçekleştirdiğini belirtiyor:
-
Sahte yazılım kırma araçları ve keygen’ler: Manipüle edilmiş arama sonuçları ve sahte reklamlarla kullanıcılar, sistem bilgilerini toplayan TDS (Traffic Detection Systems) tabanlı sahte sitelere yönlendiriliyor. Ardından Lumma indiricisi sunuluyor.
-
ClickFix yöntemi: Ele geçirilmiş sitelerde gösterilen sahte CAPTCHA sayfaları, kullanıcıyı PowerShell komutları çalıştırmaya yönlendiriyor. Lumma doğrudan belleğe yüklenerek tespit edilmekten kaçınıyor.
-
GitHub üzerinden dağıtım: Yapay zekâ ile üretilmiş içeriklerle hazırlanan sahte oyun hileleri tanıtılıyor. Bu GitHub depolarında, genellikle "TempSpoofer.exe" gibi zararlı dosyalar barındırılıyor.
-
YouTube ve Facebook: Sahte yazılımları tanıtan videolar ve paylaşımlar, kullanıcıları dış bağlantılara yönlendirerek Lumma’nın yüklendiği sitelere ulaştırıyor. Bu siteler, güvenilir platformlara benzemesi için genellikle sites.google.com gibi hizmetleri kullanıyor.
Uzmanlara göre baskınlar yeterli değil
Trend Micro’nun değerlendirmesine göre, Lumma örneğinde olduğu gibi yalnızca dijital altyapıya yapılan müdahaleler, yazılım geliştiricilerini durdurmaya yetmiyor. Herhangi bir gözaltı ya da dava süreci olmaksızın yapılan operasyonlar, bu tür tehdit aktörleri tarafından geçici bir engel olarak görülüyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
