Lumma Infostealer Malware Operasyonu Yeniden Faaliyete Geçiyor
Lumma infostealer zararlısı, Mayıs ayında gerçekleştirilen büyük bir yasadışı eylem sonrasında yeniden faaliyetlerine dönmeye başladı. Bu operasyon, 2,300 alan adının ve altyapının ele geçirilmesiyle sonuçlandı.
Olayın Ardında Kalanlar
Lumma, zararlı yazılımın hizmeti (MaaS) platformu, yasadışı eylemden sonra önemli bir kesintiye uğradı. Ancak, Haziran başındaki raporlar, Lumma’nın tam olarak kapatılmadığını doğruladı. Operatörler, durumu XSS forumlarında hemen kabul etti, fakat merkezi sunucularının ele geçirilmediğini, sadece uzaktan silindiğini iddia ettiler. Yeniden yapılandırma çalışmalarının çoktan başladığı belirtildi.
Cybercrime Topluluğundaki Yeniden Güven İnşası
Zamanla, MaaS platformu yeniden inşa edildi ve siber suç topluluğundaki güven tekrar sağlandı. Artık Lumma, birçok platformda infostealing operasyonlarını tekrar yürütmeye başlayarak, faaliyet seviyelerini büyük ölçüde eskiye döndürmeyi başardı. Trend Micro analistlerine göre, Lumma takibi sonrası normale döndü ve altyapısı hızla yeniden inşa ediliyor.
Sonuçlar ve Gözlemler
Trend Micro raporu, Lumma’nın altyapısında yeniden yapılanma belirtileri görüldüğünü belirtiyor. “Lumma Stealer’a ve ilişkili altyapısına karşı gerçekleştirilen yasadışı eylemden sonra, ekibimiz Lumma’nın operasyonlarında net bir canlanma gözlemledi,” ifadeleriyle durumu detaylandırıyor.
Ağ telemetri verileri, Lumma’nın altyapısını takibi takiben birkaç hafta içinde yeniden yapılandırmaya başladığını gösteriyor.
Dağıtım Kanalları ve Yöntemler
Trend Micro, Lumma’nın saldırı yapmak için kullandığı dört ana dağıtım kanalını vurguladı, bu da tam anlamıyla yeniden dönülmüş bir hedefleme sürecini gösteriyor:
Sahte Cracklar/Klavye Üreteçleri: Sahte yazılım crackleri ve klavye üreteçleri, kötü reklamcılık ve manipüle edilmiş arama sonuçları aracılığıyla tanıtılıyor. Kurbanlar, sistemlerinin parmak izi alınarak Lumma Downloader‘ı yükleyen aldatıcı web sitelerine yönlendiriliyor.
ClickFix: Ele geçirilmiş web siteleri, kullanıcıları PowerShell komutları çalıştırmaya kandıran sahte CAPTCHA sayfaları gösteriyor. Bu komutlar, Lumma’nın doğrudan belleğe yüklenmesini sağlıyor, böylece dosya tabanlı tespit yöntemlerinden kaçabiliyor.
GitHub: Saldırganlar, sahte oyun hilelerini reklâmlayan AI ile üretilmiş içeriklerle GitHub depoları oluşturuyor. Bu depolar, Lumma yüklemelerini barındıran dosyalar içeriyor.
YouTube/Facebook: Lumma’nın dağıtımı ayrıca, kırılmış yazılımları tanıtan YouTube videoları ve Facebook gönderilerini içermekte. Bu bağlantılar, zaman zaman güvenilir hizmetleri suistimal eden sitelere yönlendirerek Lumma zararlısını barındırıyor.
Son Durum ve Gelecek
GitHub depo örnekleri ve YouTube videoları, Lumma yüklemelerinin dağıtımı konusunda da kritik öneme sahip. Lumma’nın yeniden etkili bir tehdit olarak ortaya çıkması, yasadışı eylemlerin, tutuklama veya en azından iddianame olmaksızın, bu kararlı tehdit aktörlerini durdurmada etkili olmadığını gösteriyor.
MaaS operasyonları, büyük kazançlar sağlamakta ve bu tür platformlardaki öncü operatörler, yasadışı eylemleri günlük engeller olarak görmeye devam ediyor.
Sonuç Olarak Ne Anlamalıyız?
Lumma infostealer, siber dünyada hızlı bir şekilde yeniden varlık göstermekte ve bu durum, siber güvenlik uzmanlarını endişelendiriyor. Operasyonlarındaki yenilik ve dağıtım kanalları ile Lumma, bir kez daha geniş bir kitleye ulaşma potansiyeline sahip. Bu durum, hem bireyler hem de kurumlar için risk teşkil etmekte ve bu konuda dikkatli olmaları gerektiğini göstermektedir. Cybercrime toplulukları her zaman olduğu gibi, sürekli olarak yeni yöntemler geliştirirken, bu tür saldırılara karşı daha proaktif önlemler alınması gerektiği unutulmamalıdır.
