Các nhà chức trách thực hiện chiến dịch triệt phá quy mô toàn cầu nhắm vào loại mã độc đánh cắp thông tin đang bị tội phạm mạng sử dụng.

Một tập đoàn của các cơ quan thực thi pháp luật toàn cầu và các công ty công nghệ đã thông báo vào thứ Tư rằng họ đã làm gián đoạn phần mềm độc hại Infostealer được biết đến với cái tên Lumma. Là một trong những công cụ đánh dấu thông tin phổ biến nhất trên toàn thế giới, Lumma đã được hàng trăm người mà Microsoft gọi là “tác nhân đe dọa mạng ” sử dụng để đánh cắp mật khẩu, thông tin thẻ tín dụng và ngân hàng cũng như chi tiết ví tiền điện tử. Công cụ mà các quan chức cho biết được phát triển ở Nga, đã cung cấp cho tội phạm mạng thông tin và thông tin xác thực mà chúng cần để rút tài khoản ngân hàng, làm gián đoạn dịch vụ và thực hiện các cuộc tấn công tống tiền dữ liệu chống lại trường học, cùng nhiều hoạt động khác.

của Microsoft Đơn vị tội phạm kỹ thuật số (DCU) đã nhận được lệnh từ tòa án quận của Hoa Kỳ vào tuần trước để thu giữ và gỡ bỏ khoảng 2.300 tên miền làm nền tảng cho cơ sở hạ tầng của Lumma. Đồng thời, Bộ Tư pháp Hoa Kỳ đã thu giữ cơ sở hạ tầng chỉ huy và kiểm soát của Lumma và làm gián đoạn các thị trường tội phạm mạng bán phần mềm độc hại Lumma. Tất cả những điều này cũng được phối hợp với sự gián đoạn cơ sở hạ tầng Lumma trong khu vực bởi Trung tâm tội phạm mạng châu Âu của Europol và Trung tâm kiểm soát tội phạm mạng của Nhật Bản.

Các luật sư của Microsoft đã viết hôm thứ Tư rằng Lumma, còn được gọi là LummaC2, đã lan rộng rất nhiều vì nó “dễ phân phối, khó phát hiện và có thể được lập trình để vượt qua một số biện pháp bảo vệ an ninh nhất định.” Steven Masada, trợ lý tổng cố vấn tại DCU của Microsoft, cho biết trong một bài đăng trên blog rằng Lumma là một công cụ “go-to,” bao gồm cả công cụ khét tiếng Nhện rải rác băng đảng tội phạm mạng. Những kẻ tấn công phân phối phần mềm độc hại bằng cách sử dụng các cuộc tấn công lừa đảo có chủ đích thường mạo danh các công ty và dịch vụ đã có uy tín, như chính Microsoft, để lừa nạn nhân.

“Vào năm 2025, có thể theo Redline sự gián đoạn và sự phát triển của chính Lumma, nó đã được xếp hạng là mô-đun tích cực nhất, cho thấy sự phổ biến ngày càng tăng và được áp dụng rộng rãi trong số các tội phạm mạng, ” Victoria Kivilevich, giám đốc nghiên cứu mối đe dọa tại công ty bảo mật Kela cho biết.

Microsoft cho biết, hơn 394.000 máy tính Windows đã bị nhiễm mã độc Lumma trong khoảng thời gian từ 16/3 đến 16/5 năm nay. Và Lumma đã được nhắc đến trong hơn 21.000 danh sách trên các diễn đàn tội phạm mạng vào mùa xuân năm 2024, theo số liệu được trích dẫn trong thông báo được công bố hôm nay bởi Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA). Phần mềm độc hại đã được phát hiện đi kèm trong máy tạo video AI giả mạo, các trang web tạo “deepfake” giả mạo, và được phân phối bởi các trang CAPTCHA giả mạo.

Sự hợp tác của cơ quan thực thi pháp luật với DCU của Microsoft và các công ty công nghệ khác như Cloudflare tập trung vào việc phá vỡ cơ sở hạ tầng của Lumma theo nhiều cách, vì vậy các nhà phát triển của nó không thể đơn giản thuê các nhà cung cấp mới hoặc tạo ra các hệ thống song song để xây dựng lại.

vai trò của “Cloudflare trong sự gián đoạn bao gồm chặn các miền máy chủ chỉ huy và kiểm soát, các miền Marketplace của Lumma và cấm các tài khoản được sử dụng để định cấu hình các miền, ” công ty đã viết trong một bài đăng trên blog vào thứ Tư. “Microsoft đã phối hợp gỡ bỏ tên miền của Lumma với nhiều cơ quan đăng ký có liên quan để đảm bảo rằng bọn tội phạm không thể đơn giản thay đổi máy chủ tên và khôi phục quyền kiểm soát của chúng.”

Mặc dù phần mềm độc hại thông tin đã tồn tại trong nhiều năm nhưng việc sử dụng nó của tội phạm mạng và tin tặc quốc gia đã tăng mạnh kể từ năm 2020. Thông thường, những kẻ đánh cắp thông tin tìm đường vào máy tính của mọi người thông qua việc tải xuống phần mềm vi phạm bản quyền hoặc thông qua các cuộc tấn công lừa đảo có chủ đích mạo danh các công ty và dịch vụ đã thành lập, như chính Microsoft, để lừa nạn nhân. Khi ở trên máy tính, nó có thể lấy thông tin nhạy cảm—chẳng hạn như tên người dùng và mật khẩu, thông tin tài chính, tiện ích mở rộng trình duyệt, chi tiết xác thực đa yếu tố, v.v. và gửi lại cho nhà khai thác phần mềm độc hại.

Một số nhà khai thác thông tin đóng gói và bán dữ liệu bị đánh cắp này. Nhưng ngày càng nhiều các chi tiết bị xâm nhập đã hoạt động như một cửa ngõ để tin tặc tiến hành các cuộc tấn công tiếp theo, cung cấp cho họ các chi tiết cần thiết để truy cập vào các tài khoản trực tuyến và các mạng lưới các tập đoàn trị giá hàng tỷ USD".

patrick Wardle, Giám đốc điều hành của công ty bảo mật DoubleYou tập trung vào thiết bị Apple, cho biết: “Rõ ràng là những kẻ đánh cắp thông tin không chỉ trở thành phần mềm độc hại lấy và đi. “Trong nhiều chiến dịch, chúng thực sự đóng vai trò là giai đoạn đầu tiên, thu thập thông tin xác thực, mã thông báo truy cập và dữ liệu hỗ trợ chỗ đứng khác, sau đó được sử dụng để khởi động các cuộc tấn công truyền thống, có tác động cao hơn như di chuyển ngang, gián điệp hoặc ransomware.”

Theo FBI và CISA, kẻ tấn công thông tin Lumma lần đầu tiên xuất hiện trên các diễn đàn tội phạm mạng bằng tiếng Nga vào năm 2022. Kể từ đó các nhà phát triển của nó đã nâng cấp khả năng của nó và phát hành nhiều phiên bản phần mềm khác nhau.

Ví dụ, kể từ năm 2023, họ đã nỗ lực tích hợp AI vào nền tảng phần mềm độc hại, theo phát hiện từ công ty bảo mật Trellix. Những kẻ tấn công muốn thêm các khả năng này để tự động hóa một số công việc liên quan đến việc dọn dẹp lượng lớn dữ liệu thô được thu thập bởi những kẻ đánh dấu thông tin, bao gồm xác định và tách các tài khoản “bot” ít có giá trị hơn đối với hầu hết những kẻ tấn công.

Một quản trị viên của Lumma nói với 404Media và WIRED năm ngoái, họ đã khuyến khích cả tin tặc dày dạn kinh nghiệm và tội phạm mạng mới sử dụng phần mềm của họ. “Điều này mang lại cho chúng tôi thu nhập tốt, ” quản trị viên cho biết, đề cập đến việc bán lại dữ liệu đăng nhập bị đánh cắp.

Microsoft cho biết nhà phát triển chính đằng sau Lumma có tên trực tuyến là “Shamel” và có trụ sở tại Nga.

“Shamel tiếp thị các cấp độ dịch vụ khác nhau cho Lumma thông qua Telegram và các diễn đàn trò chuyện bằng tiếng Nga khác, Masada của Microsoft đã viết vào thứ Tư. “Tùy thuộc vào dịch vụ mà tội phạm mạng mua, họ có thể tạo phiên bản phần mềm độc hại của riêng mình, thêm công cụ để che giấu và phân phối cũng như theo dõi thông tin bị đánh cắp thông qua cổng thông tin trực tuyến.”

Kivilevich của Kela nói rằng trong những ngày trước khi gỡ xuống, một số tội phạm mạng bắt đầu phàn nàn trên các diễn đàn rằng đã có vấn đề với Lumma. Họ thậm chí còn suy đoán rằng nền tảng phần mềm độc hại đã bị nhắm mục tiêu trong một hoạt động thực thi pháp luật.