عملیات بدافزاری Lumma Infostealer مختل و ۲٬۳۰۰ دامنه توقیف گردید.
اوایل ماه مه ۲۰۲۵، یک اقدام هماهنگ با هدف اخلال در عملیات بدافزار بهصورت خدمت (Malware-as-a-Service – MaaS) با نام Lumma Infostealer منجر به توقیف هزاران دامنه اینترنتی و بخشهایی از زیرساخت اصلی این شبکه در سطح جهانی شد.
در این عملیات مشترک، شرکتهای فناوری و نهادهای قضایی و انتظامی بینالمللی مشارکت داشتند. نتیجه این همکاری، توقیف حدود ۲٬۳۰۰ دامنه توسط شرکت مایکروسافت پس از انجام اقدامات حقوقی علیه این بدافزار در تاریخ ۱۳ مه ۲۰۲۵ بود.
بهطور همزمان، وزارت دادگستری ایالات متحده (DOJ) با توقیف پنل کنترل بدافزار، بازارهای آنلاین ارائهدهنده این بدافزار به مجرمان سایبری را مختل کرد. همچنین مرکز جرایم سایبری اروپا وابسته به یوروپل (EC3) و مرکز مقابله با جرایم سایبری ژاپن (JC3) در توقیف زیرساختهای مستقر در اروپا و ژاپن نقش کلیدی ایفا کردند.
طبق اعلام Steven Masada، مشاور ارشد حقوقی در واحد جرایم دیجیتال مایکروسافت (Microsoft Digital Crimes Unit):
«بین ۱۶ مارس تا ۱۶ مه ۲۰۲۵، بیش از ۳۹۴٬۰۰۰ سیستم عامل ویندوز در سراسر جهان آلوده به بدافزار Lumma شناسایی شد. با همکاری نهادهای قضایی و شرکای صنعتی، ارتباط بین این ابزار مخرب و قربانیان قطع شده است.»
شرکت Cloudflare نیز در بیانیهای اعلام کرد:
«اقدام انجامشده علیه Lumma Stealer، دسترسی گردانندگان این بدافزار به پنل کنترل، بازار دادههای سرقتشده و زیرساخت اینترنتی مورد استفاده برای جمعآوری و مدیریت اطلاعات را مسدود کرده است. این اقدامات موجب تحمیل هزینههای عملیاتی و مالی بر گردانندگان و مشتریان این شبکه شده و آنها را مجبور به بازسازی فعالیت خود در بسترهای جدید میکند.»
در این عملیات، شرکتها و سازمانهای دیگری از جمله ESET، CleanDNS، Bitsight، Lumen، GMO Registry و همچنین شرکت بینالمللی حقوقی Orrick نیز مشارکت داشتند.
سوءاستفاده بدافزار Lumma Stealer از سرویسهای Cloudflare برای مخفیسازی سرورهای جمعآوری داده
بهگفتهی شرکت Cloudflare، بدافزار Lumma Stealer با سوءاستفاده از سرویسهای این شرکت، آدرسهای IP واقعی سرورهایی را که مهاجمان برای جمعآوری اطلاعات و دادههای سرقتشده استفاده میکردند، مخفی کرده است.
اگرچه دامنههای مرتبط با این عملیات توسط Cloudflare تعلیق شدند، اما این بدافزار موفق شد هشدار میانصفحهای (interstitial warning page) این شرکت را دور بزند. در پی این اقدام، Cloudflare گامهای امنیتی بیشتری برای جلوگیری از نشت اطلاعات (data exfiltration) برداشت.
Cloudflare در این خصوص توضیح داد:
«تیم اعتماد و ایمنی (Trust and Safety) ما بهطور مداوم دامنههای مورد استفاده توسط مجرمان سایبری را شناسایی و حسابهای آنها را مسدود کرده است.»
همچنین این شرکت اعلام کرد:
«در فوریه ۲۰۲۵، مشاهده شد که بدافزار Lumma موفق به عبور از صفحه هشدار میانصفحهای شد؛ صفحهای که یکی از ابزارهای Cloudflare برای مقابله با تهدیدات سایبری محسوب میشود. در پاسخ، سرویس Turnstile به این صفحه افزوده شد تا عبور بدافزار غیرممکن شود.»
بدافزار Lumma چیست؟
Lumma (با نام دیگر LummaC2) یک بدافزار سرقت اطلاعات از نوع Malware-as-a-Service (MaaS) است که سیستمعاملهای Windows و macOS را هدف قرار میدهد و مجرمان سایبری میتوانند با پرداخت اشتراکی بین ۲۵۰ تا ۱٬۰۰۰ دلار از آن استفاده کنند.
این بدافزار از قابلیتهای پیشرفته دور زدن مکانیزمهای امنیتی و سرقت دادهها برخوردار است و از طریق روشهایی نظیر:
- کامنتهای جعلی در GitHub
- وبسایتهای تولید تصاویر جعلی عریان با هوش مصنوعی (Deepfake nude generators)
- تبلیغات مخرب (Malvertising)
در میان قربانیان توزیع میشود.
پس از آلودهسازی سیستم، Lumma قادر است اطلاعات حساس کاربر را از مرورگرها و اپلیکیشنهای مختلف سرقت کند. این اطلاعات شامل:
- کیفپولهای رمزارز
- کوکیها
- نامهای کاربری و گذرواژهها
- اطلاعات کارتهای بانکی
- تاریخچه مرور
از مرورگرهایی نظیر Google Chrome، Microsoft Edge، Mozilla Firefox و سایر مرورگرهای مبتنی بر Chromium است.
اطلاعات سرقتشده بهصورت فشردهسازیشده به سرورهای تحت کنترل مهاجمان ارسال شده و سپس یا در بازارهای زیرزمینی (Cybercrime Marketplaces) به فروش میرسند یا در سایر حملات مورد استفاده قرار میگیرند.
Lumma Stealer نخستینبار در دسامبر ۲۰۲۲ در فرومهای زیرزمینی برای فروش عرضه شد و بر اساس گزارش KELA، تنها چند ماه بعد بهسرعت در میان مجرمان سایبری محبوبیت یافت.
طبق گزارش اطلاعاتی تهدیدات سایبری سال ۲۰۲۵ توسط IBM X-Force:
- طی یک سال گذشته، فروش اعتبارنامههای سرقتی توسط infostealerها در دارکوب ۱۲٪ افزایش یافته است.
- همچنین میزان ارسال بدافزارهای سرقت اطلاعات از طریق فیشینگ با افزایش چشمگیر ۸۴٪ مواجه شده که Lumma با اختلاف، پرکاربردترین نمونه بوده است.
استفاده گسترده از بدافزار Lumma در کارزارهای تبلیغات مخرب؛ نقش کلیدی در رخنههای امنیتی سازمانی
بدافزار Lumma در کارزارهای عظیم تبلیغات مخرب (Malvertising) مورد استفاده قرار گرفته که صدها هزار سیستم را آلوده کرده است. این بدافزار همچنین در اختیار گروهها و عاملان تهدید شناختهشدهای از جمله Scattered Spider قرار داشته است.
در تازهترین موارد، دادههای سرقتشده توسط بدافزارهای Information Stealer نقش کلیدی در رخنههای پرمخاطرهی امنیتی علیه شرکتهایی چون:
- PowerSchool
- HotTopic
- CircleCI
- و Snowflake
داشتهاند.
علاوه بر نفوذ به شبکههای سازمانی، اطلاعات احراز هویتی (Credentials) بهسرقترفته توسط این نوع بدافزارها برای ایجاد اختلال عمدی در زیرساختهای اینترنتی نیز بهکار رفتهاند. بهعنوان مثال، مهاجمان با ربودن حساب RIPE شرکت Orange Spain، موفق به تغییر پیکربندیهای حیاتی در مسیریابی BGP (Border Gateway Protocol) و RPKI (Resource Public Key Infrastructure) شدند که منجر به اختلال گسترده در شبکه شد.
در همین راستا، افبیآی (FBI) و آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده (CISA) امروز هشدارنامهای مشترک منتشر کردند که شامل جزئیاتی از:
- شاخصهای نفوذ (IOCs)
- تاکتیکها، تکنیکها و رویههای شناختهشده (TTPs)
مرتبط با عاملان تهدید بهرهبردار از بدافزار Lumma است.