Lumma Stealer, một nền tảng phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ (MaaS) khét tiếng, đã nhanh chóng tái xuất hiện sau chiến dịch trấn áp toàn cầu phối hợp vào tháng 5 năm 2025. Bộ Tư pháp Hoa Kỳ, cùng với các đối tác quốc tế, đã tịch thu khoảng 2.300 miền độc hại tích hợp vào cơ sở hạ tầng chỉ huy và kiểm soát (C&C) của Lumma, bao gồm các bảng điều khiển đăng nhập quản trị. Sự gián đoạn này đã cắt đứt kết nối giữa các điểm cuối bị nhiễm và máy chủ trích xuất dữ liệu, tạm thời ngừng hoạt động của phần mềm độc hại.
Tuy nhiên, dữ liệu đo lường từ các công ty an ninh mạng như Trend Micro cho thấy sự tái xuất nhanh chóng. Các tài khoản bị nhắm mục tiêu đã phục hồi từ mức giảm ngắn ngủi vào tháng 5, trở lại mức trước khi bị triệt phá vào tháng 7 năm 2025. Nhà phát triển chính, liên quan đến nhóm tác nhân đe dọa có tên “Water Kurita”, đã công khai thừa nhận sự xâm phạm trên các diễn đàn ngầm như XSS, quy kết nguyên nhân do một lỗ hổng bị khai thác trong Bộ điều khiển truy cập từ xa tích hợp Dell (iDRAC) của máy chủ của họ. Mặc dù đã định dạng lại đĩa và sao lưu, những kẻ vận hành đã khôi phục quyền truy cập, vô hiệu hóa các giao diện dễ bị tổn thương và chuyển sang các chiến thuật tàng hình hơn, nhấn mạnh những thách thức trong việc loại bỏ vĩnh viễn các mối đe dọa thích ứng như vậy.
Khả năng và Sự Tiến hóa Cơ sở Hạ tầng của Lumma Stealer
Lumma Stealer chuyên trích xuất dữ liệu nhạy cảm từ các hệ thống bị xâm phạm, bao gồm thông tin đăng nhập, ví tiền mã hóa và tệp riêng tư. Được quảng bá như một công cụ MaaS dễ tiếp cận, nó trao quyền cho cả những tội phạm mạng không chuyên về kỹ thuật triển khai các cuộc tấn công phức tạp thông qua các mô hình đăng ký.
Sau chiến dịch triệt phá, cơ sở hạ tầng của phần mềm độc hại đã phát triển đáng kể: những kẻ vận hành đã giảm sự phụ thuộc vào Cloudflare để che dấu miền, vốn trước đây đã che giấu các máy chủ C&C thông qua các mạng phân phối nội dung hợp pháp. Thay vào đó, chúng đã đa dạng hóa sang các nhà cung cấp có trụ sở tại Nga như Selectel, tận dụng các trung tâm dữ liệu có khả năng ít hợp tác hơn với các yêu cầu triệt phá quốc tế.
Dữ liệu đo lường mạng cho thấy sự tăng đột biến trong các URL C&C mới vào tháng 6, tạo điều kiện thuận lợi cho việc tiếp tục trích xuất dữ liệu và ra lệnh cho các máy chủ bị nhiễm.
Chiến thuật Phân phối và Lây nhiễm Mới
Các chiến dịch gần đây khai thác việc người dùng tìm kiếm phần mềm lậu, ngụy trang Lumma dưới dạng các ứng dụng đã bẻ khóa hoặc trình tạo khóa (keygens). Quảng cáo độc hại (malvertising) và tối ưu hóa công cụ tìm kiếm (SEO) hướng nạn nhân đến các trang web lừa đảo lưu trữ các trang chứa JavaScript, chuyển lưu lượng truy cập qua các Hệ thống Phát hiện Lưu lượng (TDS). Theo báo cáo của Trend Micro, các hệ thống này sẽ định danh môi trường người dùng trước khi cung cấp các trình tải xuống Lumma được bảo vệ bằng mật khẩu, thường là dưới dạng các assembly .NET được giải mã thông qua các phép toán XOR và thực thi trong bộ nhớ để tránh phát hiện dựa trên đĩa.
Các chiến dịch ClickFix tiêm các script độc hại vào các trang web bị xâm phạm, đưa ra các thử thách CAPTCHA giả mạo, nhắc người dùng chạy các lệnh PowerShell, khởi tạo các chuỗi lây nhiễm nhiều giai đoạn dẫn đến payload của Lumma. Phân phối thêm xảy ra thông qua việc lạm dụng GitHub, nơi các kho lưu trữ tự động với các tệp README do AI tạo ra quảng bá các bản gian lận game, nhúng các tệp thực thi như TempSpoofer.exe trong các bản phát hành.
Các nền tảng truyền thông xã hội, bao gồm YouTube và Facebook, khuếch đại phạm vi tiếp cận thông qua các video và bài đăng theo chủ đề liên kết đến các trang web chứa phần mềm độc hại trên các máy chủ hợp pháp như sites.google.com. Những chiến thuật này khai thác các lỗ hổng của con người, đặc biệt là trong số những người dùng có nhận thức hạn chế về an ninh mạng, cho phép đánh cắp thông tin đăng nhập trên diện rộng và khả năng theo sau bằng ransomware.
Các Chỉ số Thỏa hiệp (IOCs)
Dựa trên các chiến thuật phân phối và thành phần kỹ thuật được xác định, các chỉ số thỏa hiệp liên quan đến Lumma Stealer bao gồm:
- Các miền C&C: Mặc dù không có danh sách cụ thể, việc tăng đột biến các URL C&C mới và việc chuyển đổi sang các nhà cung cấp như Selectel là một chỉ số cần theo dõi.
- Tệp thực thi:
TempSpoofer.exeđược nhúng trong các bản phát hành GitHub giả mạo. - Kỹ thuật né tránh:
- Sử dụng các assembly .NET được bảo vệ bằng mật khẩu cho các trình tải xuống.
- Giải mã bằng phép toán XOR.
- Thực thi trong bộ nhớ (in-memory execution).
- Kịch bản tấn công:
- Lệnh PowerShell được thực thi trong chuỗi lây nhiễm.
- Các trang web lừa đảo sử dụng JavaScript và Traffic Detection Systems (TDS).
- Nền tảng phân phối:
- Các trang web giả mạo quảng bá phần mềm bẻ khóa/keygen.
- Các kho lưu trữ tự động trên GitHub.
- Các liên kết độc hại trên YouTube, Facebook, và sites.google.com.
Biện pháp Phòng ngừa và Giảm thiểu
Để đối phó với mối đe dọa này, các tổ chức nên triển khai các công cụ phát hiện và phản hồi điểm cuối (EDR) như Trend Vision One, có khả năng chặn các chỉ số thỏa hiệp (IOCs) đã biết và cung cấp các truy vấn săn lùng mối đe dọa. Việc đào tạo nhân viên thường xuyên về cách nhận biết quảng cáo độc hại (malvertising), lừa đảo (phishing) và kỹ thuật xã hội (social engineering) là rất quan trọng, cùng với việc giám sát mạng chủ động để phát hiện lưu lượng C&C bất thường.
Trong bối cảnh những kẻ vận hành Lumma liên tục tinh chỉnh các kỹ thuật né tránh, sự hợp tác bền vững giữa các cơ quan thực thi pháp luật và các thực thể an ninh mạng vẫn là điều cần thiết để giảm thiểu mối đe dọa MaaS dai dẳng này. Điều này nhấn mạnh rằng ngay cả những sự gián đoạn cấp cao cũng chỉ mang lại sự tạm thời nếu không có sự cảnh giác liên tục.
