Правоохоронці та ІБ-фахівці повідомили про захоплення тисяч доменів і частини інфраструктури, пов’язаної з інфостилером Lumma.

Одночасно з цим Міністерство юстиції США наклало арешт на п’ять доменів, пов’язаних із панелями управління Lumma, а Європейський центр по боротьбі з кіберзлочинністю (EC3) при Європолі і Японський центр по боротьбі з кіберзлочинністю (JC3) допомогли конфіскувати інфраструктуру Lumma, розташовану в Європі та Японії.

У скоординованій атаці на інфраструктуру Lumma брали участь компанії Microsoft, Cloudflare, ESET, CleanDNS, Bitsight, Lumen, GMO Registry і міжнародна юридична фірма Orrick.

Зазначається, що навіть після блокування доменів, які використовували злочинці, малварь обходила сторінку попередження Cloudflare, і компанія була змушена вжити додаткових заходів для блокування розкрадання даних.

Проникнувши в систему, Lumma може викрадати дані з браузерів (Google Chrome, Microsoft Edge, Mozilla Firefox та інших Chromium-браузерів) і застосунків, включно з криптовалютними гаманцями й файлами cookie, обліковими даними, паролями, даними банківських карток та історією браузингу.

Вкрадені дані збираються в архів і передаються на підконтрольні зловмисникам сервери, а хакери продають цю інформацію іншим злочинцям або самі використовують у подальших атаках.

У рамках операції, спрямованої проти інфраструктури Lumma, ФБР і CISA випустили спільний бюлетень із детальною інформацією про індикатори компрометації та відомі тактики зловмисників, які використовують стилер у своїх атаках.