Lumma infostealer bende is weer aan het opkrabbelen
Nadat de opsporings diensten meer dan 2300 domeinen hebben overgenomen van de Lumma infostealer bende zijn ze weer aan het opkrabbelen.
Onderzoekers hebben vier distributiekanalen uitgelicht die Lumma momenteel gebruikt om nieuwe infecties te veroorzaken, wat wijst op een volledige terugkeer naar multifaceted targeting zo meldt cybersecurity expert Erik Westhovens op LinkedIn, mede op basis van een bericht van Bleepingcomputer.
Valse cracks/keygens: Nepsoftwarecracks en keygens worden gepromoot via malvertising en gemanipuleerde zoekresultaten. Slachtoffers worden doorverwezen naar misleidende websites die hun systeem scannen met behulp van Traffic Detection Systems (TDS) voordat ze de Lumma Downloader gebruiken.
ClickFix: Gehackte websites tonen valse CAPTCHA-pagina's die gebruikers ertoe verleiden PowerShell-opdrachten uit te voeren. Deze opdrachten laden Lumma rechtstreeks in het geheugen, waardoor het bestandgebaseerde detectiemechanismen kan omzeilen.
GitHub: Aanvallers zijn actief bezig met het creƫren van GitHub-repositories met door AI gegenereerde content die reclame maakt voor neppe gamecheats. Deze repositories hosten Lumma-payloads, zoals "TempSpoofer.exe", als uitvoerbare bestanden of in ZIP-bestanden.
YouTube/Facebook: De huidige distributie van Lumma omvat ook YouTube-video's en Facebook-berichten die gekraakte software promoten. Deze links leiden naar externe sites die Lumma-malware hosten, die soms vertrouwde services zoals sites.google[.]com misbruikt om betrouwbaar over te komen.
