
지난 5월, 전 세계 법 집행 당국은 Lumma의 인프라를 마비시켜 중요한 승리를 거두었습니다. Lumma는 국제 작전에 앞서 단 2개월 동안 거의 395,000대의 Windows 컴퓨터를 감염시킨 정보 강탈자입니다. 연구원들은 수요일 Lumma가 자격 증명과 민감한 파일을 훔치는 감지하기 어려운 공격에서 다시 한번 “규모를 회복”했다고 밝혔습니다.
Lumma Stealer라고도 알려진 Lumma는 2022년 러시아어를 사용하는 사이버 범죄 포럼에 처음 등장했습니다. 클라우드 기반 맬웨어 서비스 모델은 무료로 크랙된 소프트웨어, 게임, 불법 복제 영화는 물론 명령 및 제어 채널과 위협 행위자가 정보 도용 기업을 운영하는 데 필요한 모든 것을 제공하는 유인 사이트를 호스팅하기 위한 광범위한 도메인 인프라를 제공했습니다. 1년 안에 Lumma는 프리미엄 버전을 2,500달러에 팔았습니다. 2024년 봄까지 FBI는 범죄 포럼에 21,000개 이상의 목록을 집계했습니다. 작년에 Microsoft는 Lumma가 가장 왕성한 범죄 그룹 중 하나인 Scattered Spider를 포함하여 여러 범죄 그룹의 “가장 유용한 도구”가 되었다고 밝혔습니다.
게시 중단은 어렵습니다.
FBI와 국제 연합은 작년 초에 조치를 취했습니다. 지난 5월 그들은 인포스틸러가 번성할 수 있도록 해준 2,300개의 도메인, 명령 및 통제 인프라, 범죄 시장을 압수했다고 밝혔습니다. 그러나 최근 악성 코드가 다시 등장하여 상당수의 컴퓨터를 다시 감염시킬 수 있게 되었습니다.
보안 회사인 Bitdefender의 연구원들은 “2025년 법 집행 기관이 수천 개의 명령 및 제어 도메인을 중단시켰음에도 불구하고 LummaStealer는 규모를 다시 키웠습니다.”라고 썼습니다. “이 작업은 인프라를 빠르게 재구축했으며 전 세계적으로 계속 확산되고 있습니다.”
이전 Lumma와 마찬가지로 최근 급증세는 최종 사용자가 자신의 시스템을 감염시키는 데 매우 효과적인 것으로 입증된 사회 공학적 미끼의 한 형태인 “ClickFix”에 크게 의존하고 있습니다. 일반적으로 이러한 유형의 미끼는 사용자에게 상자를 클릭하거나 뒤죽박죽된 이미지에서 개체나 문자를 식별하도록 요구하는 대신 텍스트를 복사하여 인터페이스에 붙여넣도록 지시하는 가짜 CAPTCHA 형태로 제공됩니다. 이 프로세스는 단 몇 초만에 완료됩니다. 해당 텍스트는 가짜 CAPTCHA에서 제공하는 악성 명령 형태로 제공됩니다. 인터페이스는 Windows 터미널입니다. 이를 준수하는 대상은 로더 악성 코드를 설치하고, 이는 차례로 Lumma를 설치합니다.