Credit image: Freepix
ESET Gabung Operasi Global Lumpuhkan Lumma Stealer – Lumma Stealer, sebuah malware pencuri informasi (infostealer) yang terkenal dan beroperasi sebagai layanan (malware-as-a-service/MaaS), baru-baru ini menjadi target operasi penumpasan global besar-besaran.
Penumpasan ini sangat vital karena kredensial yang dicuri oleh infostealer seringkali menjadi komoditas berharga di pasar gelap siber, dijual kepada berbagai pelaku kejahatan siber lainnya, termasuk kelompok ransomware.
|
Baca juga: Operasi Siber RoundPress Curi Email Pemerintah di Seluruh Dunia |
Sepak Terjang Lumma Stealer
Dalam dua tahun terakhir, Lumma Stealer, yang juga dikenal sebagai LummaC atau LummaC2, telah menjadi salah satu infostealer paling aktif.
Beroperasi dengan model Malware-as-a-Service (MaaS), Lumma Stealer memungkinkan para afiliasi (penyebar malware) untuk membayar biaya bulanan.
Biaya ini bervariasi dari USD 250 hingga USD 1.000 per bulan, tergantung tingkat fitur yang diinginkan, mulai dari penyaringan dasar hingga alat penghindaran deteksi yang lebih canggih dan akses awal ke fitur-fitur baru.
Para pengembang Lumma Stealer secara aktif memelihara dan memperbarui malware ini, dengan rata-rata 74 domain C&C baru muncul setiap minggunya antara Juni 2024 hingga Mei 2025.
Evolusi berkelanjutan ini menunjukkan seberapa besar ancaman yang ditimbulkan oleh Lumma Stealer dan mengapa upaya penumpasannya begitu kompleks dan penting.
Model Bisnis Lumma Stealer dan Cara Penyebarannya
Model Malware-as-a-Service (MaaS) adalah inti dari operasi Lumma Stealer. Afiliasi membayar biaya langganan untuk mendapatkan build malware terbaru dan infrastruktur jaringan yang diperlukan untuk mengekstraksi data.
Mereka memiliki akses ke panel manajemen yang ramah pengguna untuk mengunduh data dan kredensial yang telah dicuri.
Bahkan, operator Lumma Stealer juga menciptakan marketplace di Telegram dengan sistem peringkat, memungkinkan afiliasi untuk menjual data curian langsung tanpa perantara.
Dokumentasi panel manajemen yang terbuka dan pembaruan rutin di forum hacking menunjukkan betapa terorganisirnya operasi mereka.
Para pengembang Lumma Stealer fokus pada pembuatan malware, pipelining data, dan pemeliharaan infrastruktur, sementara afiliasi bertanggung jawab penuh atas distribusinya. Kombinasi ini menghasilkan berbagai vektor kompromi yang luas. Metode distribusi yang umum meliputi:
- Phising: Skema phising yang populer melibatkan halaman web ClickFix palsu atau CAPTCHA palsu, forum penipuan dengan perangkat lunak retakan (cracked software), repositori GitHub palsu, dan tautan penipuan di forum Reddit.
- Perangkat Lunak Retakan (Cracked Software): Pengguna yang mengunduh perangkat lunak ilegal berisiko tinggi terinfeksi.
- Pengunduh Malware Lainnya: Lumma Stealer juga disebarkan melalui malware downloader lain seperti SmokeLoader, DarkGate, Amadey, Vidar, dan lain-lain.
|
Baca juga: Operasi Besar Malware di 2025 |
Lumma Stealer Beroperasi
ESET dan mitra kolaborasinya tidak hanya melacak distribusi Lumma Stealer, tetapi juga menganalisis properti statis dan dinamisnya untuk memahami cara kerjanya.
Properti Statis Lumma Stealer:
- Domain C&C: Setiap sampel Lumma Stealer berisi daftar sembilan domain C&C yang dienkripsi. Metode enkripsi telah berkembang dari waktu ke waktu; awalnya menggunakan fungsi XOR dan encoding Base64 (hingga Januari 2025), kemudian beralih ke enkripsi ChaCha20 dengan kunci dan nonce yang terenkripsi di dalam binary sejak Januari 2025.
- Dead-Drop Resolvers: Lumma Stealer memiliki fitur cadangan untuk mendapatkan C&C jika server utama tidak merespons. Sejak Juni 2024, fitur ini menggunakan halaman profil Steam palsu sebagai dead-drop resolver, di mana URL C&C cadangan disembunyikan menggunakan Caesar cipher (ROT11). Pada Februari 2025, malware ini diperbarui untuk menggunakan saluran Telegram sebagai dead-drop resolver utama, yang diyakini tersedia untuk langganan tingkat lebih tinggi.
- Lumma Stealer Identifier (LID/UID): Setiap sampel berisi pengidentifikasi afiliasi unik, yang awalnya dikenal sebagai LID (misalnya, uz4s1o;, LPnhqo). Ini digunakan dalam komunikasi dengan server C&C. Sejak Maret 2025, formatnya beralih ke pengidentifikasi heksadesimal yang disebut UID.
- Optional Configuration Identifier (J/CID): Sampel Lumma Stealer juga dapat berisi parameter opsional (awalnya disebut J, kemudian CID sejak Maret 2025) yang digunakan untuk meminta konfigurasi dinamis dari server C&C, yang memungkinkan stealer untuk memperluas kemampuannya.
Properti Dinamis Lumma Stealer
Lumma Stealer mengunduh konfigurasi dinamis dari server C&C dalam format JSON. Konfigurasi ini mendefinisikan data apa saja yang harus dicari dan dieksfiltrasi. Fokus utamanya adalah mencuri data dari:
- Browser Web: Data ekstensi, basis data kata sandi, cookie sesi, riwayatBrowse, dan data autofill.
- Aplikasi Lainnya: Manajer kata sandi, VPN, klien FTP, layanan cloud, aplikasi remote desktop, klien email, dompet cryptocurrency, dan aplikasi pencatat.
Konfigurasi dinamis ini juga dilindungi dengan enkripsi, beralih dari XOR dan Base64 ke ChaCha20 pada Maret 2025, dan kemudian menambahkan lapisan obfuscation tambahan dengan fungsi XOR 8-byte pada nilai JSON di April 2025.
Selain konfigurasi dinamis, Lumma Stealer juga memiliki instruksi hardcoded untuk mengeksfiltrasi file dari aplikasi seperti Outlook, Thunderbird, informasi akun Steam, dan token akun Discord.
Kombinasi konfigurasi dinamis dan hardcoded ini memastikan bahwa Lumma Stealer dapat secara efektif mengumpulkan berbagai data berharga.
|
Baca juga: Operasi Malware Godloader Baru Menginfeksi 17.000 Sistem |
Komunikasi C&C
Selama periode pelacakan Lumma Stealer, semua domain C&C yang diekstraksi secara konsisten mengarah ke layanan Cloudflare. Cloudflare digunakan untuk menyembunyikan infrastruktur C&C Lumma Stealer yang sebenarnya.
Proses komunikasi melibatkan handshake awal (pada build lama) dan permintaan konfigurasi dari server C&C. Setelah data sensitif berhasil dieksfiltrasi, Lumma Stealer membuat permintaan terakhir untuk mengunduh payload tambahan untuk dieksekusi di mesin korban, meskipun payload ini tidak selalu disediakan.
Teknik Anti Analisis dan Obfuscation:
Lumma Stealer menggunakan beberapa teknik obfuscation yang efektif untuk mempersulit analisis, diantaranya:
- Indirect Jump Obfuscation: Mengganggu blok kode fungsi sehingga alur logika program hampir tidak mungkin dilacak.
- Stack Strings: Menyembunyikan data binary dan string penting yang terenkripsi, membuat analisis statis sulit. Setiap string terenkripsi memiliki fungsi dekripsi matematis uniknya sendiri.
- Import API Obfuscation: Fungsi import diselesaikan saat runtime, dengan nama import di-hash menggunakan algoritma FNV-1a, dan parameternya juga di-obfuscate menggunakan stack strings sejak Agustus 2024.
Pentingnya Kolaborasi Global
Operasi penumpasan global ini dimungkinkan berkat pelacakan Lumma Stealer jangka panjang yang dilakukan ESET dan mitra-mitranya.
Mereka berhasil memahami modus operandi grup Lumma Stealer, evolusi malware mereka dalam setahun terakhir, serta teknik obfuscation kunci yang mempersulit analisis.
Operasi yang dipimpin oleh Microsoft ini bertujuan untuk menyita semua domain C&C Lumma Stealer yang diketahui, membuat infrastruktur exfiltration Lumma Stealer tidak berfungsi.
ESET akan terus memantau infostealer lainnya sambil mengamati aktivitas Lumma Stealer pasca operasi penumpasan ini. Upaya kolaboratif semacam ini sangat penting dalam memerangi ancaman siber yang terus berkembang dan semakin canggih seperti infostealer MaaS.
Demikian pembahasan mengenai ESET gabung operasi global lumpuhkan Lumma Stealer, semoga informasi tersebut dapat bermanfaat.
Sumber berita:
