Lumma Stealer, một phần mềm độc hại được tội phạm mạng sử dụng rộng rãi, vừa bị phá hủy. Sau một hoạt động được thực hiện bởi hệ thống tư pháp Hoa Kỳ, Europol và Trung tâm kiểm soát tội phạm mạng Nhật Bản, cơ sở hạ tầng phần mềm độc hại đã bị phá vỡ. Có nhiều tác nhân tham gia vào hoạt động này, bắt đầu từ Microsoft. Các công ty như ESET và Cloudflare cũng tham gia vào việc tiêu diệt loại virus đáng sợ này.
Lumma Stealer chuyên đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, thông tin đăng nhập, cookie, thông tin thẻ tín dụng, khóa riêng của ví tiền điện tử và toàn bộ lịch sử duyệt web. Sau khi thu thập, dữ liệu sẽ được lưu trữ và nhanh chóng được gửi đến các máy chủ do tin tặc kiểm soát. Theo Microsoft, phần mềm độc hại này là "phần mềm độc hại được hàng trăm kẻ tấn công an ninh mạng lựa chọn để đánh cắp dữ liệu". Tương thích với cả Windows và macOS, loại vi-rút này đã có liên quan đến nhiều cuộc tấn công mạng, nhằm vào nhiều mục tiêu khác nhau, bao gồm trường học, tài khoản ngân hàng và cá nhân, và thường được phát tán qua các email lừa đảo. Trước đây, virus này đã được tìm thấy trong các email mạo danh Booking, nền tảng đặt phòng khách sạn.
Phần mềm độc hại này đã được tội phạm mạng từ băng đảng FIN7 sử dụng để lừa người dùng sử dụng trình tạo deepfake. Năm nay, Lumma cũng tham gia vào một cuộc tấn công phối hợp của hai băng nhóm nhằm vào máy tính chạy Windows. Một vài tháng trước, loại virus này đã gây ra làn sóng đánh cắp dữ liệu trên Windows. Ẩn trong các quảng cáo độc hại, loại virus này đã đánh cắp được dữ liệu của nhiều người dùng Internet, đặc biệt là những người đam mê trò chơi điện tử.
Việc gỡ bỏ Lumma Stealer bắt đầu bằng vụ kiện do Microsoft đệ trình tại Hoa Kỳ vào ngày 13 tháng 5 năm 2025. Hệ thống tư pháp liên bang Hoa Kỳ đã nhanh chóng quyết định tiến hành một chiến dịch lớn để ngăn chặn hoạt động của loại vi-rút này. Trong "sự hợp tác với các đối tác thực thi pháp luật và ngành công nghiệp", Microsoft đã thành công "cắt đứt liên lạc giữa công cụ độc hại và nạn nhân", Steven Masada, trợ lý tổng cố vấn cho đơn vị tội phạm kỹ thuật số của Microsoft giải thích.
Tin tặc buộc phải "xây dựng lại dịch vụ của mình trên cơ sở hạ tầng thay thế". Microsoft tuyên bố rằng "hành động phối hợp này nhằm mục đích làm chậm tốc độ tấn công, giảm hiệu quả của chúng và hạn chế lợi nhuận bất hợp pháp của tội phạm mạng bằng cách cắt đứt một trong những nguồn thu chính của chúng". Các thực thể tham gia vào hoạt động này cho rằng không phải không có khả năng tin tặc cuối cùng sẽ xây dựng lại cơ sở hạ tầng xung quanh Lumma Stealer. Như Microsoft đã chỉ ra, "tội phạm mạng rất dai dẳng và sáng tạo". Do đó, loại virus này có thể quay trở lại trong tương lai.
Nguồn: Europol
Phần mềm độc hại của Nga chuyên đánh cắp dữ liệu
Hoạt động từ năm 2022, Lumma Stealer được thiết kế bởi một nhà phát triển người Nga có tên là Shamel. Virus này là MaaS (Phần mềm độc hại dưới dạng dịch vụ), một công cụ độc hại được bán dưới dạng đăng ký cho những tên tội phạm mạng khác. Giá thuê bao dao động từ 250 đến 20.000 đô la một tháng, với các dịch vụ toàn diện nhất bao gồm kiểm soát vi-rút và bảng cấu hình. Shamel tuyên bố có hơn 400 khách hàng. Đăng ký được cung cấp thông qua Telegram, dịch vụ nhắn tin được tội phạm mạng ưa chuộng.Lumma Stealer chuyên đánh cắp thông tin nhạy cảm, bao gồm mật khẩu, thông tin đăng nhập, cookie, thông tin thẻ tín dụng, khóa riêng của ví tiền điện tử và toàn bộ lịch sử duyệt web. Sau khi thu thập, dữ liệu sẽ được lưu trữ và nhanh chóng được gửi đến các máy chủ do tin tặc kiểm soát. Theo Microsoft, phần mềm độc hại này là "phần mềm độc hại được hàng trăm kẻ tấn công an ninh mạng lựa chọn để đánh cắp dữ liệu". Tương thích với cả Windows và macOS, loại vi-rút này đã có liên quan đến nhiều cuộc tấn công mạng, nhằm vào nhiều mục tiêu khác nhau, bao gồm trường học, tài khoản ngân hàng và cá nhân, và thường được phát tán qua các email lừa đảo. Trước đây, virus này đã được tìm thấy trong các email mạo danh Booking, nền tảng đặt phòng khách sạn.
Phần mềm độc hại này đã được tội phạm mạng từ băng đảng FIN7 sử dụng để lừa người dùng sử dụng trình tạo deepfake. Năm nay, Lumma cũng tham gia vào một cuộc tấn công phối hợp của hai băng nhóm nhằm vào máy tính chạy Windows. Một vài tháng trước, loại virus này đã gây ra làn sóng đánh cắp dữ liệu trên Windows. Ẩn trong các quảng cáo độc hại, loại virus này đã đánh cắp được dữ liệu của nhiều người dùng Internet, đặc biệt là những người đam mê trò chơi điện tử.
Gần 400.000 máy tính bị nhiễm Lumma
Từ ngày 16 tháng 3 đến ngày 16 tháng 5 năm 2025, Microsoft đã thống kê được hơn 394.000 máy tính Windows bị ảnh hưởng bởi Lumma trên toàn thế giới. Hầu hết các máy tính cá nhân đều được đặt tại Hoa Kỳ, Mexico, Brazil, Tây Âu và Nhật Bản. Sau khi cài đặt trên máy tính, Lumma có thể đánh cắp dữ liệu nhạy cảm từ trình duyệt web. Lumma chủ yếu nhắm vào các trình duyệt như Google Chrome, Microsoft Edge, Mozilla Firefox và các trình duyệt khác dựa trên công cụ kết xuất Chromium.Việc gỡ bỏ Lumma Stealer bắt đầu bằng vụ kiện do Microsoft đệ trình tại Hoa Kỳ vào ngày 13 tháng 5 năm 2025. Hệ thống tư pháp liên bang Hoa Kỳ đã nhanh chóng quyết định tiến hành một chiến dịch lớn để ngăn chặn hoạt động của loại vi-rút này. Trong "sự hợp tác với các đối tác thực thi pháp luật và ngành công nghiệp", Microsoft đã thành công "cắt đứt liên lạc giữa công cụ độc hại và nạn nhân", Steven Masada, trợ lý tổng cố vấn cho đơn vị tội phạm kỹ thuật số của Microsoft giải thích.
Cơ sở hạ tầng đã bị phá hủy... nhưng sẽ sớm phục hồi?
Công ty Redmond đã chặn, đình chỉ hoặc xóa khoảng 1.300 trang web tạo nên cơ sở hạ tầng chính của Lumma. Cùng lúc đó, hệ thống tư pháp Hoa Kỳ đã kiểm soát trung tâm chỉ huy của hệ sinh thái Lumma, ngăn chặn việc sử dụng nền tảng này để bán lại dữ liệu bị đánh cắp do virus. Như Cloudflare giải thích, "hoạt động phá hủy Lumma Stealer tước đi quyền truy cập của những người điều hành vào giao diện lệnh, thị trường dữ liệu bị đánh cắp và cơ sở hạ tầng trực tuyến được sử dụng để thu thập và quản lý thông tin này". Europol cho biết đây là "trung tâm mua bán phần mềm độc hại". ESET tin rằng điều này đã góp phần "trực tiếp vào sự gia tăng của hành vi trộm cắp danh tính, gian lận ngân hàng và tống tiền".Tin tặc buộc phải "xây dựng lại dịch vụ của mình trên cơ sở hạ tầng thay thế". Microsoft tuyên bố rằng "hành động phối hợp này nhằm mục đích làm chậm tốc độ tấn công, giảm hiệu quả của chúng và hạn chế lợi nhuận bất hợp pháp của tội phạm mạng bằng cách cắt đứt một trong những nguồn thu chính của chúng". Các thực thể tham gia vào hoạt động này cho rằng không phải không có khả năng tin tặc cuối cùng sẽ xây dựng lại cơ sở hạ tầng xung quanh Lumma Stealer. Như Microsoft đã chỉ ra, "tội phạm mạng rất dai dẳng và sáng tạo". Do đó, loại virus này có thể quay trở lại trong tương lai.
Nguồn: Europol
