As autoridades realizam elaboradas quedas globais do Infotealer fortemente usadas por cibercriminosos

Alguns operadores da InfoStealer agitam e vendem esses dados roubados. Mas cada vez mais os detalhes comprometidos agiram como uma porta de entrada para os hackers lançarem mais ataques, fornecendo a eles os detalhes necessários para acessar contas on-line e as redes de empresas multibilionárias.

“É claro que os Infotealers se tornaram mais do que apenas malware de agarrar e ir”, diz Patrick Wardle, CEO da empresa de segurança focada em dispositivos da Apple, Doubleyou. “Em muitas campanhas, eles realmente agem como o primeiro estágio, coletando credenciais, tokens de acesso e outros dados que habilitam a posição, que são usados ​​para lançar ataques mais tradicionais e de alto impacto, como movimento lateral, espionagem ou ransomware”.

O Lumma Infotealer surgiu pela primeira vez nos fóruns de crimes cibernéticos em 2022, de acordo com o FBI e CISA. Desde então, seus desenvolvedores atualizaram seus recursos e lançaram várias versões diferentes do software.

Desde 2023, por exemplo, eles estão trabalhando para integrar a IA na plataforma de malware, de acordo com descobertas Da empresa de segurança Trellix. Os invasores desejam adicionar esses recursos para automatizar alguns dos trabalhos envolvidos na limpeza das enormes quantidades de dados brutos coletados pelos infotelantes, incluindo a identificação e separação de contas “bot” que são menos valiosas para a maioria dos invasores.

Um administrador da Lumma disse à 404Media e conectou no ano passado que incentivou hackers experientes e novos cibercriminosos a usar seu software. “Isso nos traz boa renda”, disse o administrador, referindo -se à revenda dos dados roubados de login.

A Microsoft diz que o principal desenvolvedor por trás de Lumma passa pelo identificador on -line “Shamel” e está sediado na Rússia.

“A Shamel comercializa diferentes níveis de serviço para Lumma via Telegram e outros fóruns de bate-papo em língua russa”, escreveu Masada, da Microsoft, na quarta-feira. “Dependendo do serviço de compras cibernéticas, elas podem criar suas próprias versões do malware, adicionar ferramentas para escondê -lo e distribuí -lo e rastrear informações roubadas por meio de um portal on -line.”

Kivilevich, de Kela, diz que, nos dias que antecederam a queda, alguns cibercriminosos começaram a reclamar de fóruns que houve problemas com Lumma. Eles até especularam que a plataforma de malware havia sido direcionada em uma operação de aplicação da lei.

“Com base no que vemos, há uma ampla gama de cibercriminosos admitindo que estão usando lumma, como atores envolvidos em fraude de cartão de crédito, vendas de acesso inicial, roubo de criptomoeda e muito mais”, diz Kivilevich.

Entre outras ferramentas, o grupo de hackers de aranha disperso – que atacou o Caesars Entertainment, o MGM Resorts International e outras vítimas – foi malhado usando O ladrão de Lumma. Enquanto isso, de acordo com um relatório de TechCruncho malware lumma foi supostamente usado na preparação para o hack de dezembro de 2024 da empresa de tecnologia da educação PowerSchool, na qual mais do que 70 milhões de registros foram roubados.

“Agora estamos vendo a InfoSoSealers não apenas evoluir tecnicamente, mas também desempenhar um papel mais central operacionalmente”, diz a ala de Doubleyou. “Até os atores do Estado-nação estão desenvolvendo e implantando-os.”

Ian Gray, diretor de análise e pesquisa do Flashpoint, da empresa de segurança, diz que, embora os Infotealers sejam apenas uma ferramenta que os cibercriminosos usarão, sua prevalência pode facilitar a ocultação dos cibercriminosos. “Mesmo grupos de atores de ameaças avançados estão alavancando toras de infotealer, ou correm o risco de queimar táticas, técnicas e procedimentos sofisticados”, diz Gray.

Lumma não é o primeiro Infotealer a ser alvo da aplicação da lei. Em outubro do ano passado, a Polícia Nacional holandesa, juntamente com parceiros internacionais, derrubou a infraestrutura ligada ao malware Redline e Metastealer, e o Departamento de Justiça dos EUA não é lançado contra as acusações contra Maxim Orelnetsum dos supostos desenvolvedores e administradores do Redline InfoSoSealer.

Apesar da repressão internacional, os infotelantes se mostraram muito úteis e eficazes para que os atacantes abandonem. Como o Flashpoint, Grey coloca, “mesmo que o cenário mude, em última análise, devido à evolução das defesas, o crescente destaque dos infotelantes nos últimos anos sugere que eles provavelmente estão aqui para permanecer no futuro próximo. O uso deles explodiu”.