Einem Kollektiv aus Cloud- und Sicherheitsunternehmen, angeführt von Europol und Microsoft, ist ein Schlag gegen die weitverbreitete Malware Lumma gelungen. Die Schadsoftware nistet sich über verschiedene Tricks auf Windows-PCs ein und stiehlt Zugangsdaten, Kryptowährung und Dokumente. Fast 400.000 infizierte Windows-PCs stellte Microsoft allein zwischen Mitte März und Mitte Mai fest und schlug nun zu. Europol zeigt sich erfreut über die erfolgreiche Zusammenarbeit.
Lumma, der mittlerweile weltweit am weitesten verbreitete Infostealer, wird von seinem Entwickler als "Malware-as-a-Service" (MaaS) vermarktet. Das Logo der Schadsoftware – eine blau-weiße Kolibri-Silhouette – könnte ein unbedarfter Betrachter mit dem eines Tech-Startups verwechseln, doch verbirgt sich dahinter eine ausgeklügelte Maschinerie.
Flexibler und robuster Schädling
Lumma nutzt verschiedene Verbreitungswege: Über Malvertising, also Werbeanzeigen für trojanisierte Software, "Drive-By-Downloads", als Beifang bei anderer Malware, mit Phishing-Kampagnen oder über die derzeit populäre "Clickfix"-Methode gelangt Lumma auf die PCs seiner Opfer. Und das sehr erfolgreich: Zwischen 16. März und 16. Mai 2025 identifizierte Microsoft 394.000 mit dem Infostealer verseuchte Windows-PCs. Auf denen sucht Lumma nach Browserdaten, Krypto-Wallets, VPN-Konfigurationen und Dokumenten etwa im PDF- oder Word-Format. Auch die Hardwarespezifikation des PC sammelt der Infostealer ein und überträgt ihn an seine Gebieter.
Das geschieht über ein mehrstufiges System aus sogenannten "C2"-Adressen (Command & Control), teilweise bei CDNs wie Cloudflare gehostet, zum Teil aber auch in Steam-Spielerprofilen oder Telegram-Gruppen versteckt. Gleichzeitig agieren die Domains als Administrationsoberfläche für die Kriminellen. Diese melden sich auf der C2-Domain an und können ihren Schädling dann fernsteuern – etwa, um weitere Exploits zu starten. Bei diesen C2-Domains griffen Microsoft und seine Partner nun an: Über 1.300 dieser Kontrolladressen setzten sie außer Gefecht und leiteten sie auf von Microsoft betriebene, harmlose "Sinkholes" um.
So exfiltriert der Lumma-Infostealer Daten in mehreren Schritten. Mittendrin: Das Cloudflare-CDN.
(Bild: Microsoft)
An der Aktion beteiligt waren auch CleanDNS, der Carrier Lumen (ehemals Level3 / CenturyLink), das US-Justizministerium und CDN-Anbieter Cloudflare. Hinter dessen Content-Netzwerk versteckten sich viele der C2-Domains. Europol lobt in einer Mitteilung ausdrücklich die Zusammenarbeit mit den Unternehmen: "Partnerschaften zwischen öffentlicher Hand und Unternehmen sind ein Eckpfeiler der Arbeit von Europol im Digitalzeitalter", so die Behörde. Sie kümmerte sich um die Koordination zwischen den beteiligten Parteien und Strafverfolgern weltweit.
Der Lumma-Stealer galt als Malware-Platzhirsch, nachdem Ermittler eine Plattform für seine Konkurrenten Redline und Meta im Oktober 2024 gesprengt hatten.
(cku)
English (US) ·