Microsoft предупредила о новом опасном вирусе в Windows

Аналитики Microsoft зафиксировали стремительный рост активности опасного инфостилера Lumma Stealer в операционной системе Windows, который используется кибермошенниками по всему миру. Благодаря сложной инфраструктуре распространения и многоуровневым методам заражения эта вредоносная программа становится все более сложной для выявления и устранения.

Об этом пишет Microsoft.

Что известно о вредоносном ПО в Windows

Lumma Stealer, также известный как LummaC2, является продуктом модели "вредоносное ПО как услуга" (MaaS), который продается и обслуживается киберпреступником под псевдонимом Storm-2477. Платформа позволяет клиентам создавать собственные варианты вируса, управлять крадеными данными и выбирать каналы командного управления. Преступники, работающие с этим сервисом, используют изощренные способы доставки: от фишинговых писем и поддельных обновлений до зараженных сайтов и легитимных облачных сервисов.

Распространение Lumma Stealer происходит через электронные письма, фальшивые рекламы, зараженные инсталляторы популярных программ и даже через использование смарт-контрактов на блокчейн-платформах. Один из самых опасных подходов — так называемый ClickFix: пользователя заставляют вручную вводить вредоносную команду в систему, замаскировав ее под проверку CAPTCHA.

Вредоносное ПО похищает данные из браузеров Chromium, Mozilla и Edge, в частности пароли, куки, криптокошельки и файлы пользователя. Дополнительно Lumma может устанавливать другие программы, включая майнеры или плагины для кражи из буфера обмена. Избежание обнаружения обеспечивается с помощью глубокой обфускации, инъекции в системные процессы и использования технологий вроде Heavens Gate или low-level syscall.

Microsoft также сообщает, что часть серверов управления Lumma Stealer скрывалась за прокси Cloudflare и Telegram-каналами, а вся передача данных происходила через HTTPS с шифрованием ChaCha20. Компания зафиксировала уже шесть версий вируса, каждая из которых включает новые техники уклонения от защиты.

В результате совместной операции Microsoft с правоохранителями было обезврежено более 2300 доменов, связанных с инфраструктурой Lumma Stealer. Однако, по словам специалистов, полностью устранить угрозу возможно только при условии усиленной многоуровневой обороны, включая многофакторную аутентификацию, блокировку запуска скриптов и использование защищенных браузеров.

Microsoft призывает корпоративных клиентов активировать режим блокировки в Defender for Endpoint и максимально автоматизировать обнаружение и нейтрализацию угроз. Компания также предоставила специальные инструменты для анализа подозрительных команд и мониторинга активности, связанной с Lumma Stealer, в корпоративных сетях.

Напомним, мессенджер Signal выпустил обновление для Windows, которое запрещает создание скриншотов окна с перепиской. По словам разработчиков, эта функция внедрена с целью усиления конфиденциальности пользователей и защиты их частных данных.

Также мы писали, что операционной системе Windows 7 уже почти 16 лет, и ее официальная поддержка завершилась еще 14 января 2020 года. С тех пор система больше не получает даже критических обновлений безопасности, что делает компьютеры особенно уязвимыми к атакам — особенно если на них хранятся конфиденциальные файлы или выполняются финансовые операции.