Lumma – ten szkodnik zainfekował 394 000 komputerów z systemem Windows

We wpisie na firmowym blogu Microsoft opublikował informacje dotyczące Lumma. Jest to złośliwe oprogramowanie kradnące informacje, które w ciągu zaledwie dwóch miesięcy, między 16 marca a 16 maja 2025 roku, zdołało zainfekować ponad 394 tys. systemów Windows na całym świecie. Problem dotyczy m.in. przeglądarek Chrome, Edge i Firefox.
fot.: Microsoft

fot.: Microsoft

Microsoft twierdzi, że Lumma Stealer, zwany również LummaC2, to oprogramowanie typu malware-as-a-service (MaaS) opracowane przez Storm-2477. Jest używane przez cyberprzestępców jako narzędzie do kradzieży poufnych informacji z aplikacji, takich jak przeglądarki, portfele kryptowalut i inne miejsca.

Lumma – w jaki sposób zagraża?

Lumma jest rozpowszechniana za pośrednictwem różnych złośliwych kampanii, w tym wiadomości phishingowych, fałszywych reklam, pobierania danych z zainfekowanych stron internetowych, aplikacji zainfekowanych trojanami i wprowadzających w błąd, fałszywych testów CAPTCHA. Przykładem takich kampanii jest reklama “aktualizacja Chrome”, która pojawiała się na stronach.

Aby uniknąć pułapek tego typu, użytkownikom zaleca się, aby pobierali dane wyłącznie z oficjalnych stron internetowych. W przypadku przeglądarki najlepiej oczywiście dokonać aktualizacji z jej poziomu. Po udanej infekcji Lumma może kraść dane. A konkretnie:

  • wyodrębnia zapisane hasła, pliki cookie sesji i dane autouzupełniania z przeglądarek Chromium (w tym Edge), Mozilla i Gecko;
  • aktywnie wyszukuje pliki portfeli, rozszerzenia przeglądarek i klucze lokalne powiązane z portfelami takimi jak MetaMask, Electrum i Exodus;
  • atakuje dane z różnych wirtualnych sieci prywatnych (VPN) (.ovpn), klientów poczty e-mail, klientów FTP i aplikacji Telegram;
  • zbiera pliki znalezione w profilach użytkowników i innych popularnych katalogach, szczególnie te z rozszerzeniami .pdf, .docx lub .rtf.;
  • zbiera dane telemetryczne hosta, takie jak informacje o procesorze, wersji systemu operacyjnego, ustawieniach regionalnych systemu i zainstalowanych aplikacjach, w celu dostosowywania przyszłych ataków lub profilowania ofiar.
Lumma - zasięg
fot.: Microsoft

Czytaj też: Microsoft chce zmienić Edge w przeglądarkę SI. Pomoże w tym model Phi-4 mini

Powyższa mapa pokazuje zasięg ataków. Jak widać – w naszym rejonie było ich bardzo dużo. Ale Microsoft zakończył swój wpis na blogu pozytywną notką. Firma potwierdziła, że jej program antywirusowy Defender jest teraz w stanie wykryć LummaC2. Zostanie on oznaczony jako następujące trojany lub podejrzane zachowanie:

  • Win32/LuammaStealer
  • Trojan:JS/LummaStealer
  • Trojan:MSIL/LummaStealer
  • Trojan:Win32/LummaStealer
  • Trojan:Win64/LummaStealer
  • TrojanDropper:Win32/LummaStealer
  • Trojan:PowerShell/Powdow
  • Trojan:Win64/Shaolaod
  • Win64/Shaolaod
  • Win32/MaleficAms
  • Win32/ClickFix
  • Win32/SuspClickFix
  • Trojan:Win32/ClickFix
  • Trojan:Script/ClickFix
  • Win32/RegRunMRU
  • Trojan:HTML/FakeCaptcha
  • Trojan:Script/SuspDown

To samo dotyczy Defender for Office 365 i Defender for Endpoint. Dlatego jeśli dotąd nie zdarzyło Ci się pobierać instalatorów z niepewnych źródeł, możesz spać spokojnie.