2300 доменов сожжены — но ядро устояло. Lumma вернулась: злее, тише, опаснее

После масштабной операции правоохранительных органов в мае, в ходе которой были выведены из строя более 2300 доменов и частично нарушена инфраструктура, вредоносная платформа Lumma вновь демонстрирует рост активности. Несмотря на серьёзный удар, полностью сервис так и не прекратил своё существование: операторы оперативно отреагировали на ситуацию и приступили к восстановлению своих мощностей.

По информации Trend Micro , речь идёт об одном из наиболее живучих и доходных сервисов, работающих по модели malware-as-a-service (MaaS) и ориентированных на кражу конфиденциальных данных. Почти сразу после уничтожения части инфраструктуры представители Lumma сообщили на даркнет-форумах, что их основной сервер не попал под прямой контроль силовиков, несмотря на то, что был удалён удалённо. Там же они объявили о начале работ по возрождению платформы.

В течение следующих недель телеметрия Trend Micro зафиксировала активное наращивание технической базы: число управляющих узлов увеличивалось, а вредоносный трафик вновь достиг значительных объёмов. По оценкам аналитиков, уровень операций Lumma почти достиг значений, наблюдавшихся до майских событий.

В новой итерации злоумышленники отказались от использования облачных сервисов Cloudflare, которые регулярно блокируются по запросу правоохранителей. Вместо них они перешли на инфраструктуру российского провайдера Selectel, чья юрисдикция затрудняет правовое вмешательство со стороны международных структур. Для сокрытия командных соединений по-прежнему задействуются легитимные хостинги, что позволяет вредоносу сохранять скрытность и избегать обнаружения.

На данный момент Lumma активно распространяется сразу через четыре независимых канала доставки. Это указывает не только на восстановление технической инфраструктуры, но и на то, что операторы продолжают целенаправленную кампанию по заражению новых устройств.

• Фальшивые взломы и кейгены. С помощью рекламных объявлений в поисковиках и SEO-манипуляций пользователи перенаправляются на поддельные сайты. Там встроены системы фильтрации (TDS), которые анализируют параметры устройства перед выдачей загрузчика Lumma.
• ClickFix-механизмы. На скомпрометированных веб-ресурсах отображаются фальшивые CAPTCHA, побуждающие жертву выполнить команды PowerShell вручную. Эти скрипты внедряют вредонос напрямую в оперативную память, обходя файловую систему и антивирусное ПО.
• GitHub-репозитории. Атакующие публикуют сгенерированные описания игровых читов с вредоносными файлами наподобие "TempSpoofer.exe" или архивами. Всё это оформляется как открытый проект, создавая видимость легитимности.
• YouTube и Facebook. Через видеоролики и посты продвигается якобы взломанное ПО. В описаниях размещаются ссылки на внешние сайты с загрузчиком Lumma, иногда проходящие через sites.google.com для повышения доверия у целевой аудитории.

Такая разветвлённая схема доставки делает Lumma серьёзной угрозой в руках злоумышленников. Несмотря на ранее проведённую зачистку , отсутствие задержаний и уголовных дел позволяет ключевым фигурантам продолжать деятельность практически без пауз. Фактически, такие операции стали рутинным элементом существования MaaS-индустрии.

Как мы видим, даже крупные международные спецоперации не могут гарантировать прекращения деятельности вредоносных сервисов , если за ними не следуют точечные персональные меры ответственности.