Аренда квартир, фишинг и кража данных. Как работает крупнейшая экосистема киберпреступников в 2025 году
Gurd 22/08/2025 0
Кража данных, фальшивые квартиры и целая сеть подпольных сервисов.
Компания Insikt Group представила первое углубленное исследование сети партнеров Lumma Stealer, одного из самых распространенных вредоносных ПО, предназначенного для кражи информации. Исследование, охватывающее период с середины 2024 года по первую половину 2025 года, раскрывает масштабную экосистему, поддерживающую функционирование Lumma. Эта система включает в себя не только само вредоносное ПО, но и комплекс сопутствующих сервисов: прокси-серверы, VPN, специализированные антидетект-браузеры для многопрофильной деятельности, инструменты для создания эксплойтов и шифрования, средства обхода защиты и инфраструктуру для стабильной работы.
Ключевой вывод исследования заключается в том, что партнеры Lumma редко ограничиваются одной мошеннической схемой. Например, были зафиксированы случаи, когда один и тот же оператор параллельно участвовал в аферах с арендой жилья и одновременно использовал несколько MaaS-сервисов, включая Vidar, Stealc и Meduza Stealer. Такой подход обеспечивает большую гибкость операций, уменьшает вероятность обнаружения и позволяет поддерживать прибыльность даже при блокировке отдельных элементов инфраструктуры правоохранительными органами.
Расследование выявило ранее неизвестные инструменты, такие как взломанный валидатор почтовых учетных данных EMAIL SOFTWARE 1.4.0.9 и генератор фишинговых страниц DONUSSEF. Эти программы использовались для проверки украденных учетных данных, создания поддельных сайтов и проведения связанных атак. Некоторые операторы Lumma активно используют фишинг в сочетании с сервисами массовой рассылки электронных писем, SMS-спама и поддельных страниц авторизации. Для обеспечения анонимности используются прокси GhostSocks, ASocks, FACELESS и другие, а также VPN от ExpressVPN, NordVPN, Proton VPN и Surfshark. Для управления большим количеством учетных записей злоумышленники используют антидетект-браузеры Dolphin, Octo Browser и аналогичные, позволяющие скрывать цифровые отпечатки.
Часть инфраструктуры строится на основе так называемого “пуленепробиваемого” хостинга, включая AnonRDP, Bulletproof Hosting и HostCay, а также легальные платформы, такие как MEGA или ImgBB. Для обхода антивирусов и почтовых фильтров партнеры используют сервис Hector, предоставляющий эксплойты и шифровальщики для различных форматов файлов, включая Excel и документы Office с макросами. Для тестирования зараженных файлов перед распространением используются платформы, такие как KleenScan, которые обещают не передавать образцы антивирусным компаниям.
Важным элементом экосистемы Lumma являются киберпреступные форумы. Именно там происходит вербовка новых участников, продажа крипторов, трафика и инфраструктуры, а также реализация украденных данных. Например, на Russian Market в 2024 году до 92% всех выставленных логов приходилось на Lumma. Специализированные кардинг-шопы позволяют быстро монетизировать украденные реквизиты карт и банковских счетов. На форумах также доступны учебные материалы, что снижает порог вхождения для новых участников, превращая такие сообщества в кадровый резерв для преступных сетей.
Анализ показал, что партнеры Lumma экспериментируют с различными схемами. Например, оператор под ником blackowl23 был замечен в мошенничестве на немецкой платформе WG-Gesucht: поддельные объявления об аренде жилья подкреплялись фальшивыми ссылками на booking.com, а жертв убеждали внести предоплату. Для сокрытия использовались украденные учетные записи пользователей сайта. Другие злоумышленники одновременно занимались мошенничеством с криптокошельками, банковскими учетными данными и доступами к корпоративным системам.
Несмотря на вмешательство правоохранительных органов весной 2025 года, Lumma продемонстрировала высокую устойчивость: инфраструктура восстанавливалась в течение нескольких дней, а активность партнеров не снизилась. Insikt Group подчеркивает, что экосистема построена децентрализованно: даже успешные операции против ядра сети могут лишь временно снизить интенсивность атак. Полное подавление возможно только при постоянном давлении со стороны правоохранительных органов и систематическом мониторинге даркнета и форумов.
Для защиты от подобных угроз эксперты рекомендуют организациям контролировать утечку данных, использовать правила YARA, Sigma и Snort для выявления заражений, ограничивать скачивание с неизвестных ресурсов, обучать сотрудников распознавать перенаправления и фальшивые страницы, а также отслеживать активность в даркнете. В долгосрочной перспективе защита требует не только технических средств, но и постоянного анализа преступного ландшафта, где Lumma продолжает оставаться одной из наиболее влиятельных сил.