Microsoft detecteert wachtwoord-stelende Lumma-malware op 394.000 pc's

[Captain Kirk]

Microsoft heeft de afgelopen maand op 394.000 Windowscomputers de Lumma-malware ontdekt, die speciaal is ontwikkeld voor het stelen van wachtwoorden. Het techbedrijf heeft met een gerechtelijk bevel 2300 domeinnamen waar de malware gebruik van maakt laten blokkeren of in beslag genomen. Bij de operatie tegen de malware waren ook Europol en bedrijven betrokken, waaronder CleanDNS, Cloudflare, ESET en Lumen.

Lumma, ook bekend als Lumma Stealer, is zogenoemde infostealer-malware en wordt tegen betaling aangeboden. Volgens Microsoft maken honderden aanvallers er gebruik van. Die kunnen uit verschillende abonnementen kiezen, variërend van bedragen tussen de 250 en 1000 dollar. De broncode wordt voor een bedrag van 20.000 dollar aangeboden. Voor de verspreiding van de Lumma-malware worden allerlei methodes toegeppast, zoals malafide advertenties, het aanbieden van zogenaamde browser-updates op gecompromitteerde websites, phishing, getrojaniseerde applicaties, installatie door andere malware en slachtoffers malafide captcha's laten oplossen.

Eenmaal actief kan de Lumma-malware allerlei data stelen, waaronder wachtwoorden en andere inloggegevens van verschillende applicaties, autofill-data uit de browser, creditcardgegevens, cryptowallets en allerlei documenten. Tevens kan de malware screenshots maken, andere malware installeren en zichzelf weer van het systeem verwijderen, zo laten het Amerikaanse cyberagentschap CISA en de FBI in een analyse weten. De malware communiceert hiervoor met een command & control-server die weer aan een domeinnaam is gekoppeld.

Microsoft stapte onlangs naar een Amerikaanse rechter en kreeg toestemming om 2300 domeinnamen waarvan de Lumma-malware gebruikmaakt te laten blokkeren of in beslag te nemen. Volgens Europol zijn 1300 domeinnamen zo in handen van Microsoft gekomen. Die domein wijzen nu naar een sinkhole van Microsoft. Daardoor maken besmette machines verbinding met servers van Microsoft. Het techbedrijf kan daardoor zien waar besmette systemen zich bevinden en bijvoorbeeld de internetproviders van deze gebruikers waarschuwen.

 

Aanbevelingen

De FBI en het CISA doen verschillende aanbevelingen om infectie door dergelijke malware te voorkomen. De Amerikaanse overheidsdiensten adviseren onder andere het scheiden van gebruikers- en geprivilegieerde accounts, het monitoren op verdacht gedrag, het allowlisten van remote access software, het verzamelen en analyseren van logs, het intrekken van inloggegevens van vertrekkend personeel en toepassen van netwerksegmentatie.

 

 

 

bron: https://www.security.nl