Báo cáo đột phá của Insikt Group công bố vào ngày 22 tháng 8 năm 2025 đã tiết lộ khuôn khổ hoạt động phức tạp của các affiliate mã độc Lumma infostealer. Báo cáo này nhấn mạnh sự phụ thuộc của chúng vào các công nghệ né tránh tiên tiến để hỗ trợ các hoạt động tội phạm mạng, tạo ra một mối đe dọa mạng đáng kể.

Mã độc Lumma, một nền tảng malware-as-a-service (MaaS) nổi bật từ năm 2022, tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu từ trình duyệt, ví tiền điện tử và thông tin đăng nhập hệ thống. Nó được hỗ trợ bởi một mạng lưới affiliate phi tập trung, những người sử dụng các công cụ tinh vi để duy trì ẩn danh và bền bỉ trong các chiến dịch của mình.

Tổng quan về Mã độc Lumma và Mô hình MaaS

Lịch sử và Chức năng chính

Là một infostealer mạnh mẽ, mã độc Lumma được thiết kế để exfiltrate dữ liệu nhạy cảm. Các mục tiêu chính bao gồm thông tin đăng nhập từ trình duyệt web, dữ liệu ví tiền điện tử và thông tin xác thực hệ thống.

Mô hình MaaS cho phép các cá nhân hoặc nhóm ít kinh nghiệm cũng có thể thực hiện các cuộc tấn công đánh cắp thông tin, góp phần vào sự lan rộng của nó.

Khả năng Phục hồi sau Gián đoạn

Mặc dù đã có sự gián đoạn của các cơ quan thực thi pháp luật vào tháng 5 năm 2025, hệ sinh thái của mã độc Lumma vẫn cho thấy khả năng phục hồi đáng kinh ngạc. Các affiliate nhanh chóng xây dựng lại cơ sở hạ tầng, tích hợp các proxy, VPN và trình duyệt chống phát hiện tiên tiến.

Điều này giúp chúng né tránh các giải pháp bảo mật điểm cuối và giám sát mạng, duy trì hoạt động liên tục bất chấp các nỗ lực ngăn chặn.

Kỹ thuật Né tránh của Mã độc Lumma

Sử dụng Dịch vụ Proxy và VPN

Các affiliate sử dụng các dịch vụ proxy dân cư như Pia Proxy và GhostSocks. Các dịch vụ này cho phép ngụy trang IP thông qua các bot bị xâm nhập, giúp các cuộc tấn công mô phỏng nguồn gốc của nạn nhân.

Qua đó, chúng có thể vượt qua các hàng rào địa lý hoặc cơ chế phòng thủ dựa trên cookie. Ngoài ra, việc tích hợp các nhà cung cấp VPN như ExpressVPN và NordVPN cũng được triển khai.

Trình duyệt Chống phát hiện và Payload FUD

Để tăng cường khả năng né tránh, các affiliate kết hợp VPN với các trình duyệt chống phát hiện như Dolphin và Octo. Những trình duyệt này thao túng dấu vân tay kỹ thuật số để quản lý nhiều tài khoản, đảm bảo tính liên tục trong hoạt động.

Báo cáo cũng chi tiết cách các tác nhân này thuê ngoài các dịch vụ né tránh thông qua các công cụ mã hóa (crypting) và exploit kit như của Hector. Điều này tạo ra các payload hoàn toàn không thể phát hiện (FUD) ở các định dạng như .XLL hoặc tài liệu macro-enabled.

Các payload này có khả năng vượt qua cổng email và các công cụ chống vi-rút như Windows Defender, tăng tỷ lệ thành công trong việc phát tán mã độc Lumma.

Chiến thuật Vận hành Đa dạng và Mạng lưới Ngầm

Triển khai Nhiều Infostealer Đồng thời

Các affiliate mã độc Lumma thể hiện sự linh hoạt trong hoạt động bằng cách triển khai đồng thời nhiều infostealer khác, bao gồm Vidar, Stealc và Meduza.

Chiến thuật này giúp giảm thiểu rủi ro từ việc phát hiện hoặc thu giữ cơ sở hạ tầng, từ đó nâng cao tỷ lệ thành công trong việc thu thập thông tin xác thực và đánh cắp dữ liệu tài chính, dẫn đến các trường hợp rò rỉ dữ liệu nghiêm trọng.

Vai trò của Diễn đàn Ngầm và Hosting Chống Bị Gỡ

Cuộc điều tra của Insikt Group, kéo dài từ nửa cuối năm 2024 đến giữa năm 2025, dựa trên hướng dẫn của affiliate, thông tin tình báo về phần mềm độc hại và nhật ký danh tính. Nó tiết lộ sự hiện diện sâu rộng của các affiliate trên các diễn đàn ngầm như XSS, Exploit và LolzTeam.

Tại đây, chúng tuyển dụng, trao đổi tài nguyên và kiếm tiền từ dữ liệu bị đánh cắp thông qua các cửa hàng tự động như Russian Market. Các nền tảng này cũng là trung tâm để mua bulletproof hosting từ các nhà cung cấp như AnonRDP và HostCay.

Các dịch vụ này cung cấp VPS và RDP chống bị gỡ xuống, chấp nhận thanh toán bằng tiền điện tử, tạo ra một môi trường dung thứ cho botnet, phishing và spam.

Công cụ Chuyên biệt cho Lừa đảo và Né tránh

Các affiliate tiếp tục nâng cao kỹ năng của mình với các công cụ như EMAIL SOFTWARE 1.4.0.9 (bản đã crack) để xác thực thông tin đăng nhập và DONUSSEF cho các trang phishing được tạo bằng AI. Điều này cho phép thực hiện các vụ lừa đảo như gian lận bất động sản trên các nền tảng như WG-Gesucht, nơi thông tin xác thực bị xâm phạm tạo điều kiện cho các kế hoạch thuê nhà lừa đảo liên quan đến các liên kết Booking.com giả mạo.

Khả năng né tránh phát hiện còn mở rộng đến các dịch vụ như KleenScan để quét phần mềm độc hại mà không chia sẻ với nhà cung cấp, và các nhà cung cấp SMS ảo như OnlineSim để bỏ qua OTP. Điều này thể hiện một phương pháp tiếp cận nhiều lớp để che giấu hoạt động.

Phát hiện và Phòng thủ chống lại Lumma

Chỉ số Thỏa hiệp (IOCs) và Các Thực thể Liên quan

Phân tích đã xác định được các affiliate cụ thể, ví dụ như blackowl23, có liên quan đến các địa chỉ IP của botnet Ngioweb và các vụ lừa đảo bất động sản. Các affiliate khác như suffergrime sử dụng các bảng điều khiển Stealc. Điều này minh họa các chiến thuật cá nhân hóa trong khuôn khổ tiêu chuẩn của mã độc Lumma.

Các chỉ số thỏa hiệp (IOCs) liên quan đến hoạt động của mã độc Lumma bao gồm:

• Dịch vụ Proxy dân cư: Pia Proxy, GhostSocks
• Nhà cung cấp VPN: ExpressVPN, NordVPN
• Trình duyệt chống phát hiện: Dolphin, Octo
• Dịch vụ mã hóa (Crypting): Hector’s crypting, các exploit kit không xác định
• Các infostealer khác được triển khai: Vidar, Stealc, Meduza
• Diễn đàn ngầm: XSS, Exploit, LolzTeam
• Thị trường tự động: Russian Market
• Bulletproof Hosting: AnonRDP, HostCay
• Công cụ xác thực thông tin: EMAIL SOFTWARE 1.4.0.9
• Công cụ tạo trang phishing AI: DONUSSEF
• Dịch vụ quét malware không chia sẻ: KleenScan
• Nhà cung cấp SMS ảo: OnlineSim
• Các địa chỉ IP botnet liên quan: Botnet Ngioweb (liên quan đến blackowl23)

Khuyến nghị cho Người phòng thủ

Insikt Group dự đoán sự tiến hóa liên tục của mã độc Lumma, với các affiliate đa dạng hóa sang các lĩnh vực tập trung vào tiền điện tử và nhắn tin được mã hóa, làm phức tạp thêm việc quy trách nhiệm.

Các nhà phòng thủ được khuyến nghị triển khai các quy tắc YARA, Sigma và Snort để giám sát việc exfiltration dữ liệu. Song song đó là đào tạo nhân viên về các cuộc tấn công malvertising và ClickFix. Việc duy trì các nỗ lực thực thi pháp luật và tình báo vẫn là điều cần thiết để chống lại bối cảnh mối đe dọa mạng kiên cường này. Chi tiết về cách các affiliate của Lumma hoạt động có thể được tìm thấy trong báo cáo của Recorded Future.

Cuộc điều tra này nhấn mạnh vai trò của mã độc Lumma như một kẻ đi đầu trong lĩnh vực infostealer MaaS, minh họa các mạng lưới tội phạm mạng phi tập trung có khả năng phục hồi nhanh chóng sau các gián đoạn.