Oʻtgan yilning may oyida dunyo boʻylab huquqni muhofaza qilish organlari xalqaro operatsiya oldidan ikki oy ichida qariyb 395 000 ta Windows kompyuterini zararlagan Lumma infostealer infratuzilmasini falajlash orqali muhim gʻalabaga erishdi. Biroq, tadqiqotchilar chorshanba kuni ma'lum qilishicha, Lumma yana "toʻliq quvvatda qaytgan" va endilikda aniqlash qiyin boʻlgan hujumlar orqali foydalanuvchi ma'lumotlari hamda maxfiy fayllarni oʻgʻirlamoqda.

Lumma, shuningdek, Lumma Stealer nomi bilan ham tanilgan boʻlib, birinchi marta 2022-yilda rus tilida soʻzlashuvchi kiberjinoyatchilik forumlarida paydo boʻlgan. Uning bulutga asoslangan "xizmat sifatida zararli dastur" (MaaS) modeli bepul buzilgan dasturlar, oʻyinlar va qaroqchilik filmlarini taklif qiluvchi aldov saytlarini joylashtirish uchun keng domenga ega infratuzilmani, shuningdek, buyruq va nazorat kanallarini hamda tahdidkorga oʻz infostealing faoliyatini yuritish uchun kerak boʻlgan barcha narsalarni taqdim etgan. Bir yil ichida Lumma premium versiyalari uchun 2500 dollargacha narxda sotila boshlagan. 2024-yil bahoriga kelib, FBR jinoyatchilik forumlarida 21 000 dan ortiq e'lonni qayd etgan. Oʻtgan yili Microsoft, Lumma koʻplab jinoyatchi guruhlar, jumladan, eng faol guruhlardan biri boʻlgan Scattered Spider uchun "asosiy vosita"ga aylanganini aytgan edi.

Kiberhujumlarni toʻxtatish qiyin

FBR va uning xalqaro hamkorlari koalitsiyasi oʻtgan yil boshida chora koʻrdi. May oyida ular infostealerning rivojlanishiga imkon bergan 2300 ta domenni, buyruq va nazorat infratuzilmasini hamda jinoyat bozorlarini qoʻlga kiritganliklarini e'lon qilishdi. Biroq, yaqinda ushbu zararli dastur yana qaytib keldi va koʻplab kompyuterlarni qayta zararlashga muvaffaq boʻldi.

"LummaStealer 2025-yilda huquqni muhofaza qilish organlari tomonidan minglab buyruq va nazorat domenlarini buzgan yirik operatsiyaga qaramay, yana toʻliq quvvatda qaytdi", deb yozadi Bitdefender xavfsizlik firmasi tadqiqotchilari oʻz bloglarida. "Operatsiya oʻz infratuzilmasini tezda qayta tikladi va butun dunyo boʻylab tarqalishda davom etmoqda."

Lumma avvalgidek, hozirgi tarqalishda ham "ClickFix" nomli ijtimoiy muhandislik usulidan keng foydalanmoqda. Bu usul foydalanuvchilarni oʻz kompyuterlarini oʻzlari zararlashga undashda juda samarali ekanligi isbotlanmoqda. Odatda, bu turdagi aldovlar soxta CAPTCHA shaklida keladi, bunda foydalanuvchilardan biror qutichani bosish yoki tasvirdagi obyektlarni aniqlash oʻrniga, ular matnni nusxalash va interfeysga joylashtirish soʻraladi. Bu jarayon bir necha soniya davom etadi. Matn soxta CAPTCHA tomonidan taqdim etilgan zararli buyruqlar koʻrinishida boʻladi. Interfeys esa Windows terminalidir. Bu buyruqlarga amal qilganlar dastlab loader zararli dasturini oʻrnatadi, bu esa oʻz navbatida Lumma’ni kompyuterga joylaydi.

Lumma’ning qayta tiklanishining asosiy qismi dastlab oʻrnatiladigan alohida zararli dastur boʻlgan CastleLoader’dan foydalanishdir. U faqat xotirada ishlaydi, bu esa uni qattiq diskda joylashgan zararli dasturlarga qaraganda aniqlashni ancha qiyinlashtiradi. Uning kodi kuchli darajada murakkablashtirilgan boʻlib, zararli dastur skanerlari uni koʻra olgan taqdirda ham uning yomon niyatini aniqlash qiyin. CastleLoader, shuningdek, foydalanuvchilar oʻzlarining maxsus ehtiyojlariga moslashtira oladigan moslashuvchan va toʻliq funksiyali buyruq va nazorat aloqa mexanizmini ta'minlaydi.

CastleLoader Lumma’ning yaqinda qayta qurilgan infratuzilmasining baʼzi qismlarini baham koʻradi, bu esa operatorlar birgalikda ishlayotgani yoki hech boʻlmaganda oʻz faoliyatlarini muvofiqlashtirayotganini koʻrsatadi. Boshqa holatlarda, Lumma oʻrnatilishi uchun qonuniy infratuzilmaga — asosan Steam Workshop va Discord’ning umumiy fayllari kabi kontent yetkazib berish tarmoqlariga tayanadi. Ishonchli platformalardan foydalanish qurbonlarning shubhasini kamaytirishga yordam beradi. Har qanday holatda ham, loader ishga tushirilgandan soʻng, u yashirincha zararlangan kompyuterga kirib, himoya tizimlarini susaytiradi va ikkinchi yuklamani – Lumma’ni oʻrnatadi.

ClickFix tuzogʻiga tushish juda oson

Odamlar yechish qiyin boʻlgan CAPTCHA’larga shunchalik oʻrganib qolishganki, veb-sayt tomonidan taqdim etilgan matnni nusxalash, Win+R tugmalarini bosish va keyin joylashtirish buyurilganda unchalik oʻylab oʻtirishmaydi. Bu oddiy harakat bajarilgandan soʻng, Lumma zararlangan kompyuterlarda saqlangan koʻplab maxfiy fayllar ustidan toʻliq nazoratga ega boʻladi. Bitdefender ma'lumotlariga koʻra, oʻgʻirlangan ma'lumotlar quyidagilarni oʻz ichiga oladi:

• Veb-brauzerlarda saqlangan hisobga olish ma'lumotlari (loginlar, parollar);
• Kukilar (Cookies);
• Shaxsiy hujjatlar (.docx, .pdf va boshqalar);
• Moliyaviy ma'lumotlar, maxfiy kalitlar (jumladan, bulutli kalitlar), ikki faktorli autentifikatsiya (2FA) zaxira kodlari va server parollarini, shuningdek, kriptovalyuta shaxsiy kalitlari va hamyon ma'lumotlarini oʻz ichiga olgan maxfiy fayllar;
• ID raqamlari, manzillar, tibbiy yozuvlar, kredit karta raqamlari va tugʻilgan sanalar kabi shaxsiy ma'lumotlar;
• MetaMask, Binance, Electrum, Ethereum, Exodus, Coinomi, Bitcoin Core, JAXX va Steem Keychain kabi mashhur xizmatlar bilan bogʻliq kriptovalyuta hamyonlari va brauzer kengaytmalari;
• Masofaviy kirish vositalari va parol menejerlaridan, xususan AnyDesk va KeePass’dan ma'lumotlar;
• Authenticator, Authy, EOS Authenticator, GAuth Authenticator va Trezor Password Manager kabi ikki faktorli autentifikatsiya (2FA) tokenlari va kengaytmalari;
• VPN’lar (.ovpn fayllari), turli xil elektron pochta mijozlari (Gmail, Outlook, Yahoo) va FTP mijozlaridan ma'lumotlar;
• Qurbonlarni profillash yoki kelajakdagi hujumlarni moslashtirish uchun foydali boʻlgan tizim metama'lumotlari, jumladan, protsessor ma'lumotlari, operatsion tizim versiyasi (Windows 7 dan Windows 11 gacha), tizim lokali, oʻrnatilgan ilovalar, foydalanuvchi nomi, apparat IDsi va ekran oʻlchamlari.

"ClickFix’ning samaradorligi texnik zaifliklardan koʻra, protsessual ishonchni suiiste'mol qilishda yotadi", dedi Bitdefender. "Koʻrsatmalar foydalanuvchilar ilgari duch kelgan muammolarni bartaraf etish bosqichlari yoki tasdiqlash usullariga oʻxshaydi. Natijada, qurbonlar koʻpincha oʻz tizimlarida oʻzboshimchalik bilan kodni qoʻlda bajarayotganlarini tushunmay qolishadi."

Lumma faqat Windows foydalanuvchilarini nishonga olayotgan boʻlsa-da, boshqa zararli dastur kampaniyalari kamida oʻtgan yilning iyun oyidan boshlab macOS qurilmalarini zararlash uchun xuddi shu usuldan foydalangan. macOS foydalanuvchilariga qarshi soʻnggi ClickFix hujumlari joriy yilda ham davom etgan, shu jumladan Crypto va AI bilan bogʻliq nishonlarga qaratilgan.

ClickFix’dan himoyalanishning eng yaxshi usuli – bepul narsalarni taklif qiluvchi saytlardan uzoqroq boʻlishdir. Windows va macOS operatsion tizimlari buyruq terminallari ochilishidan oldin parol talab qilish imkoniyatini beradi. Texnik koʻnikmalarga ega boʻlgan va tajribasiz foydalanuvchilar nomidan kompyuterlarni boshqaradigan shaxslar bu himoya usulini ham qoʻllashni koʻrib chiqishlari mumkin.