Thought Leadership
Nach einer groß angelegten internationalen Aktion von Strafverfolgungsbehörden im Mai, die zur Beschlagnahmung von rund 2.300 Domains führte, erlebt die Schadsoftware „Lumma Stealer“ ein beunruhigendes Comeback.
Die Malware-as-a-Service-Plattform (MaaS), die gestohlene Daten im großen Stil verarbeitet, zeigt trotz erheblicher Störungen erneut deutliche Aktivitätszeichen.
Rückschlag – aber kein Ende
Der durch die Maßnahme ausgelöste Einschnitt schien zunächst gravierend. Teile der Infrastruktur wurden abgeschaltet, daraufhin meldeten sich die Betreiber umgehend in einschlägigen Cybercrime-Foren zu Wort. Dabei behaupteten sie, dass ihr zentrales Steuerungssystem zwar nicht beschlagnahmt, jedoch per Fernzugriff gelöscht worden sei. Bereits kurz danach begannen Wiederherstellungsmaßnahmen – mit Erfolg.
Sicherheitsanalysten der Firma Trend Micro berichten, dass sich die Infrastruktur des Lumma-Stealers inzwischen weitgehend von dem Eingriff erholt hat. Die Telemetriedaten deuten darauf hin, dass innerhalb weniger Wochen nach dem Zugriff der Behörden ein Wiederaufbau in Gang gesetzt wurde, der nun fast wieder das Aktivitätsniveau vor dem Abschalten erreicht hat.
Um weiteren Abschaltungen zu entgehen, haben die Verantwortlichen ihre Infrastruktur umgestellt. Statt wie zuvor Cloudflare zu nutzen, greifen sie nun auf alternative Anbieter zurück – darunter vor allem den russischen Hoster Selectel. Diese Anpassung erschwert es den Behörden, künftig erneut schnell und wirksam gegen die Malware vorzugehen.
Verbreitungswege der Malware: Kreativ und gefährlich
Die Rückkehr des Lumma-Stealers zeigt sich nicht nur in der technischen Infrastruktur, sondern auch in der aggressiven Ausbreitung über verschiedene Kanäle. Die Analysten identifizierten vier Hauptwege, über die neue Infektionen ausgelöst werden:
- Gefälschte Software-Cracks und Keygens
Über manipulierte Suchergebnisse und gezielte Werbung gelangen Nutzer auf betrügerische Seiten. Dort analysieren Traffic-Erkennungssysteme das Zielsystem, bevor der Downloader für Lumma ausgeliefert wird. - ClickFix: Schadcode über falsche CAPTCHAs
Kompromittierte Webseiten zeigen gefälschte CAPTCHA-Prüfungen, die Nutzer zur Ausführung von PowerShell-Befehlen verleiten. So wird Lumma direkt in den Arbeitsspeicher geladen und bleibt für herkömmliche Virenscanner schwer erkennbar. - Missbrauch von GitHub
Kriminelle erstellen automatisiert GitHub-Repositories mit vermeintlichen Spielmodifikationen oder Cheats. In den herunterladbaren Dateien – meist ZIP-Archive – versteckt sich die Malware. - Verbreitung über soziale Netzwerke
Auch Plattformen wie YouTube und Facebook dienen als Verteiler. Videos und Posts preisen vermeintlich kostenlose Software an und führen zu externen Downloadseiten, die teils seriöse Dienste wie Google Sites ausnutzen, um vertrauenswürdig zu wirken.
Strafverfolgung stößt an Grenzen
Trotz des erheblichen Aufwands der Behörden zeigt der Fall Lumma, dass rein technische Zerschlagungen ohne begleitende Festnahmen oder strafrechtliche Konsequenzen kaum nachhaltige Wirkung entfalten. Die Betreiber von profitablen MaaS-Plattformen sehen solche Maßnahmen offenbar nur als temporäre Hindernisse – nicht als Abschreckung.
Der erneute Aufstieg von Lumma ist ein mahnendes Beispiel dafür, wie flexibel und anpassungsfähig moderne Cybercrime-Strukturen sind. Solange die Drahtzieher im Hintergrund agieren können, bleibt das Problem bestehen – auch nach groß angelegten Aktionen durch Strafverfolger.
