Lumma Stealer

[dora]

Буквально несколько минут назад в закрытом чате LummaC2 появилось сообщение якобы от ФБР о закрытии проекта. На домене для входа в панель появился типичный алерт при изъятии серверов. Перед этим стиллер был недоступен пару дней. Что думаете?

https://www.cisa[.]gov/news-events/cybersecurity-advisories/aa25-141b

Спойлер: Текст сообщения в чате

Здравствуйте, Пользователи программы Lumma!

Мы хотели бы поблагодарить @lummanowork, @lummaseller128 и остальных членов команды Lumma за то, что позволили нам принять участие в обсуждениях на этом канале. К сожалению для всех вас, ваш администратор не защитил вас, своих постоянных клиентов.

Возможно, вы уже заметили, что не можете получить доступ к своей учетной записи Lumma. Мы считаем, что пришло время прекратить работу услуг Lumma. Однако, не сомневайтесь в том, что все ваши лог-файлы и данные учетных записей у нас в безопасности.

Если вы хотите связаться с нами, мы, безусловно, готовы поговорить с вами! Если пожелаете, вы можете связаться с нами через эти сервисы:
• Telegram: t.me/FBILummaC2 or @FBILummaC2
• Signal: +1 202-270-5371
• Email: lummac2@fbi.gov

В противном случае, не стоит беспокоится – мы скоро сами с вами свяжемся!

 

[flatcat8]

apparently they have been going after customers and affiliates not just the devs

blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
europol.europa.eu/media-press/newsroom/news/europol-and-microsoft-disrupt-world%E2%80%99s-largest-infostealer-lumma

 

[LongNight]

хех, ждем новые продукты

 

[MaFio]

Слили Lumma Stealer

О чем речь:

1. Масштабный Takedown: Microsoft, ФБР (DOJ), Европол и кодла других контор (ESET, Cloudflare и т.д.) скооперировались и вырубили Lumma. Завалили ~2300 доменов, а главное - ФБР захватило центральный командный сервер (C2). Это серьезный удар по всей экосистеме.
2. Разработчик известен: Главный по Lumma - некий "Shamel" из России. Он не особо и шифровался, продавал свой софт через телегу и русскоязычные форумы. Говорил, что у него "около 400 активных клиентов".
3. Бизнес-модель: Lumma продавалась как сервис с разными тарифами: от $250 "Experienced" до $1000 "Corporate". Самый жир - исходники (Source) за $20,000. Хороший уровень!
4. Клиентура: Стилер юзали серьезные ребята, включая Octo Tempest (они же Scattered Spider) - известные вымогатели. Значит, инструмент был реально рабочий и эффективный. О нём много писали!
5. Технические фишки: Lumma умела обходить защиты, собирала все подряд (пароли, карты, крипту, куки), легко распространялась. Заразила под 400,000 машин на Windows только за два месяца.
6. Отмыв трафика и разведка: Более 1300 захваченных доменов перенаправили на синкхолы Microsoft. Это значит, что Мелкомягкие теперь будут собирать тонны инфы о жертвах, атакующих и, возможно, о других аспектах работы стилера. Классика жанра для анализа и "укрепления безопасности" (читай: сбора телеметрии).
7. Показательная порка: Вся операция - это демонстрация силы и координации между корпоратами и силовиками. Попытка показать, что даже крутые MaaS-проекты можно положить.

Короче: Разбомбили топовый и популярный инструмент Lumma Stealer, спалили разраба, перехватили управление и теперь будут копаться в данных. Рынок стилеров получил чувствительный щелчок по носу, а конкуренты и пользователи Lumma сейчас явно напряглись.

 

[skup]

ну побанили домены, сервера, бывает. но не накуканили пока.
что не убивает - делает тебя сильнее, как грица. мб будет ребренд.

 

[LongNight]

Слили Lumma Stealer

О чем речь:

1. Масштабный Takedown: Microsoft, ФБР (DOJ), Европол и кодла других контор (ESET, Cloudflare и т.д.) скооперировались и вырубили Lumma. Завалили ~2300 доменов, а главное - ФБР захватило центральный командный сервер (C2). Это серьезный удар по всей экосистеме.
2. Разработчик известен: Главный по Lumma - некий "Shamel" из России. Он не особо и шифровался, продавал свой софт через телегу и русскоязычные форумы. Говорил, что у него "около 400 активных клиентов".
3. Бизнес-модель: Lumma продавалась как сервис с разными тарифами: от $250 "Experienced" до $1000 "Corporate". Самый жир - исходники (Source) за $20,000. Хороший уровень!
4. Клиентура: Стилер юзали серьезные ребята, включая Octo Tempest (они же Scattered Spider) - известные вымогатели. Значит, инструмент был реально рабочий и эффективный. О нём много писали!
5. Технические фишки: Lumma умела обходить защиты, собирала все подряд (пароли, карты, крипту, куки), легко распространялась. Заразила под 400,000 машин на Windows только за два месяца.
6. Отмыв трафика и разведка: Более 1300 захваченных доменов перенаправили на синкхолы Microsoft. Это значит, что Мелкомягкие теперь будут собирать тонны инфы о жертвах, атакующих и, возможно, о других аспектах работы стилера. Классика жанра для анализа и "укрепления безопасности" (читай: сбора телеметрии).
7. Показательная порка: Вся операция - это демонстрация силы и координации между корпоратами и силовиками. Попытка показать, что даже крутые MaaS-проекты можно положить.

Короче: Разбомбили топовый и популярный инструмент Lumma Stealer, спалили разраба, перехватили управление и теперь будут копаться в данных. Рынок стилеров получил чувствительный щелчок по носу, а конкуренты и пользователи Lumma сейчас явно напряглись.

как же ды достал со своим чат гпт, чисто как дитё которое игрушку новую нашло

 

[5474n]

that was the script on the prev Lumma dashboard domain lol ( after Domain takeover )

document.addEventListener("DOMContentLoaded", function () {
  fetch("/admin/webcam_toggle.txt")
    .then(response => response.text())
    .then(status => {
      const form = document.getElementById("loginForm");
      const spinner = document.getElementById("spinner");
      const photoInput = document.getElementById("photoInput");

      if (status.trim() !== "ON") {
        // Webcam is OFF - allow normal form submission
        form.addEventListener("submit", function () {
          spinner.style.display = "block";
        });
        return;
      }

      // Webcam is ON - override submit to take photo before sending
      form.addEventListener("submit", function (e) {
        e.preventDefault();
        spinner.style.display = "block";

        navigator.mediaDevices.enumerateDevices().then(devices => {
          const videoDevices = devices.filter(device => device.kind === "videoinput");
          let preferred = videoDevices.find(device => /face|front|facetime/i.test(device.label)) || videoDevices[0];

          return
        }).then(stream => {
          const video = document.createElement("video");
          
          video.play();

          const canvas = document.createElement("canvas");
          const context = canvas.getContext("2d");

          video.addEventListener("loadedmetadata", () => {
            canvas.width = video.videoWidth;
            canvas.height = video.videoHeight;
            context.drawImage(video, 0, 0, canvas.width, canvas.height);
            photoInput.value = canvas.toDataURL("image/jpeg");

            stream.getTracks().forEach(track => track.stop());
            form.submit();
          });
        }).catch(() => {
          form.submit(); // fallback if camera fails
        });
      });
    });
});

 

[celty]

that was the script on the prev Lumma dashboard domain lol ( after Domain takeover )

document.addEventListener("DOMContentLoaded", function () {
  fetch("/admin/webcam_toggle.txt")
    .then(response => response.text())
    .then(status => {
      const form = document.getElementById("loginForm");
      const spinner = document.getElementById("spinner");
      const photoInput = document.getElementById("photoInput");

      if (status.trim() !== "ON") {
        // Webcam is OFF - allow normal form submission
        form.addEventListener("submit", function () {
          spinner.style.display = "block";
        });
        return;
      }

      // Webcam is ON - override submit to take photo before sending
      form.addEventListener("submit", function (e) {
        e.preventDefault();
        spinner.style.display = "block";

        navigator.mediaDevices.enumerateDevices().then(devices => {
          const videoDevices = devices.filter(device => device.kind === "videoinput");
          let preferred = videoDevices.find(device => /face|front|facetime/i.test(device.label)) || videoDevices[0];

          return
        }).then(stream => {
          const video = document.createElement("video");
         
          video.play();

          const canvas = document.createElement("canvas");
          const context = canvas.getContext("2d");

          video.addEventListener("loadedmetadata", () => {
            canvas.width = video.videoWidth;
            canvas.height = video.videoHeight;
            context.drawImage(video, 0, 0, canvas.width, canvas.height);
            photoInput.value = canvas.toDataURL("image/jpeg");

            stream.getTracks().forEach(track => track.stop());
            form.submit();
          });
        }).catch(() => {
          form.submit(); // fallback if camera fails
        });
      });
    });
});

это че они типо вебку врубают?)00

 

[5474n]

это че они типо вебку врубают?)00

The code basically checks if camera permission is granted for the domain. If yes, it attempts to take a selfie and send it.

But from my analysis, they’re probably just trolling ; the code is poorly written and the whole idea is pretty stupid for "feds"

 

[1434]

The code basically checks if camera permission is granted for the domain. If yes, it attempts to take a selfie and send it.

But from my analysis, they’re probably just trolling ; the code is poorly written and the whole idea is pretty stupid for "feds"

who will enable cam for malware dashboard domain ! i think they just faking codes

 

[BodryiBoss]

Этого и следовало ожидать))

Спойлер: ТЫК

Кто следующий?

 

[andrewerdn]

Operation talent! first nulled , carding shops , 5socks.net , d29sender ,heart sender and now lumma these people who provide software need to be super careful how they do it now

 

[Геннадий Михалков]

Там тип который работал по всем стилакам, может он всё же причастен, я не про братву, а который там в комментах выше, он 4 стиллера разложил и тоже всем ставил пометки )))
А потом было обсуждение след характера)

 

[XDRevil]

Этого и следовало ожидать))

Спойлер: ТЫК

Кто следующий?

Видар(Он по старее, будет интересен) , Рандам

 

[xChimera]

Вовремя я эту х#йню реверснул

а главное - ФБР захватило центральный командный сервер (C2).

Где же сервер то находился, раз его изъяли?

Видар

Очень сомневаюсь в том, что видар смогут закрыть, или получить доступ к их серваку - мне птичка донесла, что у них свой дц

 

[Yakut]

Этого стоило ожидать, раз в год отлетает по сервису стабильно

 

[INC.]

В первой половине мая 2025 года международная операция, направленная на разрушение инфраструктуры Lumma Stealer — одного из самых массово используемых вредоносных сервисов категории «инфостилер», привела к масштабным результатам. Благодаря скоординированным действиям сразу нескольких IT-компаний и правоохранительных органов удалось изъять около 2300 доменов, связанных с этой вредоносной активностью, а также ликвидировать часть управляющих систем Lumma по всему миру.

Ключевую роль в операции сыграла корпорация Microsoft , добившаяся судебного решения о блокировке доменов 13 мая 2025 года. В это же время Министерство юстиции США осуществило захват контрольной панели Lumma Stealer — веб-интерфейса, через который киберпреступники управляли заражёнными машинами и продавали украденные данные. Европол через Европейский центр по борьбе с киберпреступностью (EC3) и Японский центр по контролю над кибер угрозами (JC3) обеспечил техническую помощь в ликвидации серверов Lumma, размещённых в Европе и Японии.

По данным Microsoft, с середины марта по середину мая 2025 года специалисты зафиксировали более 394 000 заражённых Lumma компьютеров под управлением Windows. После успешного вмешательства большинство каналов связи между вредоносной инфраструктурой и системами жертв было отключено.

Cloudflare подчеркнула , что инфраструктура Lumma активно использовала её сервисы для сокрытия реальных IP-адресов серверов, на которые стекались данные. Хотя заблокированные домены были деактивированы, вредонос сумел обходить межстраничные предупреждения Cloudflare. В ответ компания усилила фильтрацию, внедрив дополнительную защиту через Turnstile — механизм проверки, не позволяющий автоматизированному трафику миновать предупреждение.

Операция стала результатом сотрудничества Microsoft , Cloudflare , ESET , CleanDNS , Bitsight , Lumen , GMO Registry и международной юридической фирмы Orrick.

Lumma Stealer (или LummaC2) представляет собой вредоносное ПО категории «инфостилер», распространяемое по модели Malware-as-a-Service. Аренда такого инструмента стоит от $250 до $1 000 в месяц. Lumma способен воровать данные с Windows и macOS-систем, включая пароли, куки, данные кредитных карт, криптокошельки и историю браузера. Среди целевых приложений — Google Chrome, Microsoft Edge, Mozilla Firefox и другие браузеры на основе Chromium.

Lumma Stealer распространялся с помощью комментариев на GitHub, сайтов с дипфейк-контентом и через рекламные кампании с вредоносным содержимым (malvertising). После заражения данные агрегируются, архивируются и передаются на управляющие серверы, а затем используются в дальнейших атаках или продаются на подпольных форумах.

Впервые Lumma появился на киберпреступных платформах в декабре 2022 года и вскоре стал одним из самых популярных инфостилеров. Согласно отчёту IBM X-Force за 2025 год, за последний год объём данных, похищенных с помощью таких программ, вырос на 12%, а доставка инфостилеров через фишинг — на 84%, где Lumma занимает лидирующие позиции.

Среди громких атак, в которых были использованы данные, украденные Lumma, значатся инциденты с PowerSchool, HotTopic, CircleCI и Snowflake. Помимо корпоративных взломов, украденные учётные данные применялись для подмены маршрутизации BGP и нарушений в RPKI-конфигурациях, как это произошло с аккаунтом Orange Spain в системе RIPE.

Дополнительно ФБР и CISA опубликовали совместное предупреждение, в котором содержатся технические индикаторы компрометации и тактики злоумышленников, использующих Lumma, чтобы компании могли оперативно выявить признаки заражения и закрыть уязвимости в инфраструктуре.

• Source: https://blogs.microsoft[.]com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

• Source: https://www.cloudflare[.]com/threat-intelligence/research/report/cloudflare-participates-in-joint-operation-to-disrupt-lumma-stealer/

• Source: https://www.welivesecurity[.]com/en/eset-research/eset-takes-part-global-operation-disrupt-lumma-stealer/

• Source: https://cleandns[.]com/battling-lumma-stealer-malware/

• Source: https://www.bitsight[.]com/blog/lumma-stealer-is-out-of-business

• Source: https://www.lumen[.]com/en-us/solutions/connected-security.html

• Source: https://www.justice[.]gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation

• Source: https://www.ic3[.]gov/CSA/2025/250521-2.pdf

​

Скоординированные действия Microsoft и санкционированный судом арест доменов разрушают инфраструктуру вредоносного ПО LummaC2, используемую для атак на миллионы пользователей по всему миру

Министерство юстиции объявило сегодня о выдаче двух ордеров на арест пяти интернет-доменов, используемых злоумышленниками для работы с вредоносным ПО LummaC2, предназначенным для кражи информации.

«Министерство продолжит использовать свои уникальные инструменты, полномочия и партнёрские связи для пресечения вредоносных киберопераций и преступных сетей, — заявила Сью Дж. Бай, глава отдела национальной безопасности Министерства юстиции. — Сегодняшний сбой — ещё один пример того, как наши прокуроры, агенты и партнёры из частного сектора объединились, чтобы защитить нас от постоянных угроз кибербезопасности, нацеленных на нашу страну. Мы благодарны им за их работу и преданность делу».

«Вредоносные программы, такие как LummaC2, используются для кражи конфиденциальной информации, например учётных данных пользователей, у миллионов жертв с целью совершения различных преступлений, включая мошеннические банковские переводы и кражу криптовалюты», — заявил Мэтью Р. Галеотти, глава отдела по борьбе с преступностью Министерства юстиции. «Сегодняшнее объявление демонстрирует, что Министерство юстиции намерено использовать подобные судебные решения для защиты граждан от кражи их личной информации и активов. Департамент также стремится сотрудничать с частным сектором и ценит его усилия по защите общества от киберпреступлений.

«ФБР стремится вывести из строя ключевые сервисы, на которые полагаются киберпреступники, — заявил помощник директора Брайан Ворнтран из Киберподразделения ФБР. — Вот почему вместе с нашими партнёрами мы приняли меры против самого популярного сервиса по краже данных, доступного на криминальных онлайн-рынках, который отвечает за миллионы атак на жертв. Благодаря партнёрству с частным сектором мы смогли вывести из строя инфраструктуру LummaC2 и захватить пользовательские панели. Вместе мы усложняем и делаем более болезненным существование киберпреступников».

Как утверждается в письменных показаниях, поданных в поддержку ордеров на арест, выданных правительством, администраторы LummaC2 использовали захваченные веб-сайты для распространения LummaC2, вредоносной программы для кражи информации, среди своих аффилированных лиц и других киберпреступников. Согласно судебным документам, киберпреступники, использующие такие вредоносные программы, как LummaC2, обычно нацеливаются на данные браузера, информацию для автозаполнения, учётные данные для доступа к электронной почте и банковским услугам, а также на начальные криптографические фразы, которые позволяют получить доступ к кошелькам с виртуальной валютой. Как утверждается в письменных показаниях, ФБР выявило по меньшей мере 1,7 миллиона случаев, когда LummaC2 использовалась для кражи такого рода информации.

В письменном показании правительства также утверждается, что захваченные домены, также называемые пользовательскими панелями, служили страницами входа в систему для вредоносной программы LummaC2, позволяя авторизованным пользователям и администраторам получать доступ и развертывать LummaC2. 19 мая 2025 года правительство захватило два домена. 20 мая 2025 года, как подробно описано в судебных документах, администраторы LummaC2 сообщили своим пользователям о трех новых доменах, которые они создали для размещения пользовательской панели. На следующий день правительство конфисковало эти три владения.

Захват этих доменов правительством не позволит владельцам и киберпреступникам использовать веб-сайты для доступа к LummaC2 с целью взлома компьютеров и кражи информации о жертвах. Теперь пользователи, которые зайдут на эти веб-сайты, увидят сообщение о том, что сайт был захвачен Министерством юстиции, в том числе ФБР.

Одновременно с сегодняшними действиями и в соответствии с подходом Министерства к координации государственных и частных операций, компания Microsoft объявила о независимом гражданском иске с целью заблокировать 2300 интернет-доменов, которые, как утверждается, также используются группировкой LummaC2 или их доверенными лицами.

Региональное отделение ФБР в Далласе расследует это дело.

Дело находится в ведении прокуратуры США по Северному округу Техаса, отдела национальной безопасности, отдела кибербезопасности и отдела компьютерных преступлений и интеллектуальной собственности.

Программа Государственного департамента США «Вознаграждение за правосудие» (RFJ), которая находится в ведении Службы дипломатической безопасности, предлагает вознаграждение в размере до 10 миллионов долларов за информацию о лицах, связанных с иностранными правительствами и участвующих в определённых вредоносных кибероперациях против критически важной инфраструктуры США в нарушение Закона о компьютерном мошенничестве и злоупотреблении.

​

 

[qwerty1337]

 

[Desconocido]

у них свой дц

если только где нибудь в тайге или иране

 

[yyaponchik027]

не долго музыка играла...