Microsoft попередила про новий небезпечний вірус у Windows

Аналітики Microsoft зафіксували стрімке зростання активності небезпечного інфостілера Lumma Stealer в операційній системі Windows, який використовується кібершахраями по всьому світу. Завдяки складній інфраструктурі поширення та багаторівневим методам зараження ця шкідлива програма стає дедалі складнішою для виявлення й усунення.

Про це пише Microsoft.

Що відомо про шкідливе ПЗ у Windows

Lumma Stealer, також відомий як LummaC2, є продуктом моделі "шкідливе ПЗ як послуга" (MaaS), який продається та обслуговується кіберзлочинцем під псевдонімом Storm-2477. Платформа дозволяє клієнтам створювати власні варіанти вірусу, управляти краденими даними та обирати канали командного управління. Злочинці, що працюють з цим сервісом, використовують витончені способи доставки: від фішингових листів і підроблених оновлень до заражених сайтів і легітимних хмарних сервісів.

Розповсюдження Lumma Stealer відбувається через електронні листи, фальшиві реклами, заражені інсталятори популярних програм і навіть через використання смартконтрактів на блокчейн-платформах. Один з найнебезпечніших підходів — так званий ClickFix: користувача змушують вручну вводити шкідливу команду в систему, замаскувавши її під перевірку CAPTCHA.

Шкідливе ПЗ викрадає дані з браузерів Chromium, Mozilla та Edge, зокрема паролі, куки, криптогаманці та файли користувача. Додатково Lumma може встановлювати інші програми, включно з майнерами або плагінами для крадіжки з буфера обміну. Уникнення виявлення забезпечується за допомогою глибокої обфускації, ін'єкції в системні процеси та використання технологій на кшталт Heavens Gate чи low-level syscall.

Microsoft також повідомляє, що частина серверів управління Lumma Stealer ховалася за проксі Cloudflare та Telegram-каналами, а вся передача даних відбувалася через HTTPS із шифруванням ChaCha20. Компанія зафіксувала вже шість версій вірусу, кожна з яких включає нові техніки ухилення від захисту.

В результаті спільної операції Microsoft із правоохоронцями було знешкоджено понад 2300 доменів, пов'язаних з інфраструктурою Lumma Stealer. Проте, за словами фахівців, повністю усунути загрозу можливо лише за умови посиленої багаторівневої оборони, включно з багатофакторною автентифікацією, блокуванням запуску скриптів та використанням захищених браузерів.

Microsoft закликає корпоративних клієнтів активувати режим блокування у Defender for Endpoint та максимально автоматизувати виявлення і нейтралізацію загроз. Компанія також надала спеціальні інструменти для аналізу підозрілих команд та моніторингу активності, пов'язаної з Lumma Stealer, у корпоративних мережах.

Нагадаємо, месенджер Signal випустив оновлення для Windows, яке забороняє створення скриншотів вікна з листуванням. За словами розробників, ця функція впроваджена з метою посилення конфіденційності користувачів і захисту їхніх приватних даних.

Також ми писали, що операційній системі Windows 7 вже майже 16 років, і її офіційна підтримка завершилася ще 14 січня 2020 року. Відтоді система більше не отримує навіть критичних оновлень безпеки, що робить комп'ютери особливо вразливими до атак — особливо якщо на них зберігаються конфіденційні файли або виконуються фінансові операції.