Giriş
Son zamanlarda, LummaStealer enfeksiyonlarında önemli bir artış gözlemlenmiştir. Bu artış, CastleLoader zararlısının dağıtımı için ClickFix tekniğini kullanan sosyal mühendislik kampanyalarına dayanmaktadır.
LummaStealer Nedir?
LummaStealer, aynı zamanda LummaC2 olarak da bilinen, zararlı yazılım hizmeti (MaaS) olarak faaliyet gösteren bir bilgi çalma operasyonudur. Bu hizmet, Mayıs 2025’te 2.300 alan adı ve merkezi komut yapısının ele geçirilmesiyle büyük ölçüde kesintiye uğrasa da, Temmuz 2025’ten itibaren yeniden faaliyete geçmiştir.
Etkilenen Sistemler
LummaStealer, kullanıcıların aşağıdaki hassas verilerini hedef almaktadır:
- Kullanıcı kimlik bilgileri ve tarayıcılarda saklanan çerezler
- Kripto para cüzdanı bilgileri ve belgeler
- Oturum çerezleri ve kimlik doğrulama belirteçleri
- VPN yapılandırmaları ve hesap verileri
Saldırı Nasıl Çalışıyor?
Son araştırmalar, LummaStealer operasyonlarının Aralık 2025 ile Ocak 2026 arasında büyük ölçüde arttığını ve artık CastleLoader adlı bir zararlı yükleyici aracılığıyla dağıtıldığını göstermektedir. Bu yöntem, ClickFix tekniklerine giderek daha fazla dayanarak genişlemektedir. CastleLoader, LummaStealer’ın yayılmasında kritik bir rol oynamakta olup, modüler bir bellek içi yürütme modeli ile yüksek obfüskasyon derecesi sunmaktadır.
CastleLoader, 2025’in başlarında ortaya çıkmış ve çeşitli bilgi çalma yazılımları ile uzaktan erişim trojanlarını (Stealc, RedLine, Rhadamanthys, MonsterV2, CastleRAT, SectopRAT, NetSupport RAT, WarmCookie) dağıtmaktadır. Bu zararlı yükleyici, hem AutoIT hem de Python tabanlı çok sayıda obfüskasyon katmanıyla yazılmıştır.
CastleLoader, çalıştırılmadan önce ortamdaki güvenlik kontrolünü gerçekleştirmekte ve kullanılan güvenlik ürünlerine bağlı olarak dosya yollarını ve kalıcılık lokasyonlarını ayarlamaktadır.
Çözüm ve Korunma
Bitdefender araştırmacıları, LummaStealer’a karşı aşağıdaki önlemleri önermektedir:
- Güvensiz veya resmi olmayan kaynaklardan yazılım veya medya indirmekten kaçının.
- PowerShell veya komut satırı araçlarını kullanırken, anlamadığınız komutları çalıştırmamaya özen gösterin.
- Korsan yazılımlardan (örneğin, crack’ler veya “açık” araçlar) uzak durun.
- Google arama sonuçlarında tanıtılanları gizlemek için reklam engelleyici kullanın.
Sonuç
Bu kötü amaçlı yazılımın etkilerinden korunmak ve sistemlerinizi güvence altına almak için cihazlarınızı ve yazılımlarınızı sürekli güncel tutun, şüpheli bağlantılardan ve kaynaklardan kaçının. Ayrıca, kritik verileri korumak için düzenli olarak güvenlik taramaları gerçekleştirin.
