عملیات بدافزاری Lumma Infostealer مختل و ۲٬۳۰۰ دامنه توقیف گردید.

اوایل ماه مه ۲۰۲۵، یک اقدام هماهنگ با هدف اخلال در عملیات بدافزار به‌صورت خدمت (Malware-as-a-Service – MaaS) با نام Lumma Infostealer منجر به توقیف هزاران دامنه اینترنتی و بخش‌هایی از زیرساخت اصلی این شبکه در سطح جهانی شد.

در این عملیات مشترک، شرکت‌های فناوری و نهادهای قضایی و انتظامی بین‌المللی مشارکت داشتند. نتیجه این همکاری، توقیف حدود ۲٬۳۰۰ دامنه توسط شرکت مایکروسافت پس از انجام اقدامات حقوقی علیه این بدافزار در تاریخ ۱۳ مه ۲۰۲۵ بود.

به‌طور هم‌زمان، وزارت دادگستری ایالات متحده (DOJ) با توقیف پنل کنترل بدافزار، بازارهای آنلاین ارائه‌دهنده این بدافزار به مجرمان سایبری را مختل کرد. همچنین مرکز جرایم سایبری اروپا وابسته به یوروپل (EC3) و مرکز مقابله با جرایم سایبری ژاپن (JC3) در توقیف زیرساخت‌های مستقر در اروپا و ژاپن نقش کلیدی ایفا کردند.

طبق اعلام Steven Masada، مشاور ارشد حقوقی در واحد جرایم دیجیتال مایکروسافت (Microsoft Digital Crimes Unit):

«بین ۱۶ مارس تا ۱۶ مه ۲۰۲۵، بیش از ۳۹۴٬۰۰۰ سیستم عامل ویندوز در سراسر جهان آلوده به بدافزار Lumma شناسایی شد. با همکاری نهادهای قضایی و شرکای صنعتی، ارتباط بین این ابزار مخرب و قربانیان قطع شده است.»

شرکت Cloudflare نیز در بیانیه‌ای اعلام کرد:

«اقدام انجام‌شده علیه Lumma Stealer، دسترسی گردانندگان این بدافزار به پنل کنترل، بازار داده‌های سرقت‌شده و زیرساخت اینترنتی مورد استفاده برای جمع‌آوری و مدیریت اطلاعات را مسدود کرده است. این اقدامات موجب تحمیل هزینه‌های عملیاتی و مالی بر گردانندگان و مشتریان این شبکه شده و آن‌ها را مجبور به بازسازی فعالیت خود در بسترهای جدید می‌کند.»

در این عملیات، شرکت‌ها و سازمان‌های دیگری از جمله ESET، CleanDNS، Bitsight، Lumen، GMO Registry و همچنین شرکت بین‌المللی حقوقی Orrick نیز مشارکت داشتند.

سو‌ء‌استفاده بدافزار Lumma Stealer از سرویس‌های Cloudflare برای مخفی‌سازی سرورهای جمع‌آوری داده

به‌گفته‌ی شرکت Cloudflare، بدافزار Lumma Stealer با سوء‌استفاده از سرویس‌های این شرکت، آدرس‌های IP واقعی سرورهایی را که مهاجمان برای جمع‌آوری اطلاعات و داده‌های سرقت‌شده استفاده می‌کردند، مخفی کرده است.

اگرچه دامنه‌های مرتبط با این عملیات توسط Cloudflare تعلیق شدند، اما این بدافزار موفق شد هشدار میان‌صفحه‌ای (interstitial warning page) این شرکت را دور بزند. در پی این اقدام، Cloudflare گام‌های امنیتی بیشتری برای جلوگیری از نشت اطلاعات (data exfiltration) برداشت.

Cloudflare در این خصوص توضیح داد:

«تیم اعتماد و ایمنی (Trust and Safety) ما به‌طور مداوم دامنه‌های مورد استفاده توسط مجرمان سایبری را شناسایی و حساب‌های آن‌ها را مسدود کرده است.»

همچنین این شرکت اعلام کرد:

«در فوریه ۲۰۲۵، مشاهده شد که بدافزار Lumma موفق به عبور از صفحه هشدار میان‌صفحه‌ای شد؛ صفحه‌ای که یکی از ابزارهای Cloudflare برای مقابله با تهدیدات سایبری محسوب می‌شود. در پاسخ، سرویس Turnstile به این صفحه افزوده شد تا عبور بدافزار غیرممکن شود.»

بدافزار Lumma چیست؟

Lumma (با نام دیگر LummaC2) یک بدافزار سرقت اطلاعات از نوع Malware-as-a-Service (MaaS) است که سیستم‌عامل‌های Windows و macOS را هدف قرار می‌دهد و مجرمان سایبری می‌توانند با پرداخت اشتراکی بین ۲۵۰ تا ۱٬۰۰۰ دلار از آن استفاده کنند.

این بدافزار از قابلیت‌های پیشرفته دور زدن مکانیزم‌های امنیتی و سرقت داده‌ها برخوردار است و از طریق روش‌هایی نظیر:

• کامنت‌های جعلی در GitHub
• وب‌سایت‌های تولید تصاویر جعلی عریان با هوش مصنوعی (Deepfake nude generators)
• تبلیغات مخرب (Malvertising)
  در میان قربانیان توزیع می‌شود.

پس از آلوده‌سازی سیستم، Lumma قادر است اطلاعات حساس کاربر را از مرورگرها و اپلیکیشن‌های مختلف سرقت کند. این اطلاعات شامل:

• کیف‌پول‌های رمزارز
• کوکی‌ها
• نام‌های کاربری و گذرواژه‌ها
• اطلاعات کارت‌های بانکی
• تاریخچه مرور
  از مرورگرهایی نظیر Google Chrome، Microsoft Edge، Mozilla Firefox و سایر مرورگرهای مبتنی بر Chromium است.

اطلاعات سرقت‌شده به‌صورت فشرده‌سازی‌شده به سرورهای تحت کنترل مهاجمان ارسال شده و سپس یا در بازارهای زیرزمینی (Cybercrime Marketplaces) به فروش می‌رسند یا در سایر حملات مورد استفاده قرار می‌گیرند.

Lumma Stealer نخستین‌بار در دسامبر ۲۰۲۲ در فروم‌های زیرزمینی برای فروش عرضه شد و بر اساس گزارش KELA، تنها چند ماه بعد به‌سرعت در میان مجرمان سایبری محبوبیت یافت.

طبق گزارش اطلاعاتی تهدیدات سایبری سال ۲۰۲۵ توسط IBM X-Force:

• طی یک سال گذشته، فروش اعتبارنامه‌های سرقتی توسط infostealerها در دارک‌وب ۱۲٪ افزایش یافته است.
• همچنین میزان ارسال بدافزارهای سرقت اطلاعات از طریق فیشینگ با افزایش چشمگیر ۸۴٪ مواجه شده که Lumma با اختلاف، پرکاربردترین نمونه بوده است.

استفاده گسترده از بدافزار Lumma در کارزارهای تبلیغات مخرب؛ نقش کلیدی در رخنه‌های امنیتی سازمانی

بدافزار Lumma در کارزارهای عظیم تبلیغات مخرب (Malvertising) مورد استفاده قرار گرفته که صدها هزار سیستم را آلوده کرده است. این بدافزار همچنین در اختیار گروه‌ها و عاملان تهدید شناخته‌شده‌ای از جمله Scattered Spider قرار داشته است.

در تازه‌ترین موارد، داده‌های سرقت‌شده توسط بدافزارهای Information Stealer نقش کلیدی در رخنه‌های پرمخاطره‌ی امنیتی علیه شرکت‌هایی چون:

• PowerSchool
• HotTopic
• CircleCI
• و Snowflake
  داشته‌اند.

علاوه بر نفوذ به شبکه‌های سازمانی، اطلاعات احراز هویتی (Credentials) به‌سرقت‌رفته توسط این نوع بدافزارها برای ایجاد اختلال عمدی در زیرساخت‌های اینترنتی نیز به‌کار رفته‌اند. به‌عنوان مثال، مهاجمان با ربودن حساب RIPE شرکت Orange Spain، موفق به تغییر پیکربندی‌های حیاتی در مسیریابی BGP (Border Gateway Protocol) و RPKI (Resource Public Key Infrastructure) شدند که منجر به اختلال گسترده در شبکه شد.

در همین راستا، اف‌بی‌آی (FBI) و آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده (CISA) امروز هشدارنامه‌ای مشترک منتشر کردند که شامل جزئیاتی از:

• شاخص‌های نفوذ (IOCs)
• تاکتیک‌ها، تکنیک‌ها و رویه‌های شناخته‌شده (TTPs)
  مرتبط با عاملان تهدید بهره‌بردار از بدافزار Lumma است.