法執行当局の取り締まり後にLummaStealerの活動が急増
Original Title: LummaStealer activity spikes post-law enforcement disruption
Published (UTC): 2026-02-12T05:57:44+00:00
要旨(日本語)
– BitdefenderがLummaStealerの活動再拡大を観測し、2025年の取り締まり後もMaaS型インフォスティーラーが復活したと報告
– 2025年5月、米裁判所命令とEuropol・日本のJC3がインフラを解体し、C2用途のドメイン約2,300件を押収し闇市場での流通を阻止
– Microsoft DCUが1,300超のドメインをシンクホール化し、被害端末の通信を安全サーバへ迂回して分析・クリーンアップ
– LummaStealerはMaaSの情報窃取型で、パスワード・クレジットカード・暗号資産ウォレット鍵などを狙い、フィッシングやマルバタイジング、悪性ダウンロードで侵入し追加マルウェア展開や回避も実施
– 感染は累計39.4万台超のWindowsに及び、グローバル製造業など企業ネットワークにも被害
– Microsoftは開発者とC2運用をStorm-2477として追跡し、Octo TempestやStorm-1607/1113/1674などのランサムウェア系が活用
– 急増の背景にCastleLoaderの採用があり、RugmiやDonutLoaderからの切替も頻繁;CastleLoaderとLummaのインフラ重複が協調・共有サービスの可能性を示唆
– 誘導手口は進化し、偽CAPTCHA/ClickFix、偽のSteam更新通知、ゲーム開発サイト悪用、Steam/Discordなど信頼プラットフォーム濫用、割れソフト・映画・アダルト等の偽配布(SFX/NSIS)を確認
– CastleLoaderはAutoIt系でメモリ内復号・実行、難読化・環境検知・永続化(自身とAutoItコピー+スタートアップ登録)、偽ランダムドメインへの失敗Pingによる検知可能DNS痕跡、XOR多層復号と解凍でLumma等を展開
– 地理的にはインド・米国・欧州で活発で、顧客標的に応じ配布を変化;資格情報やブラウザセッション、金融情報、ウォレット、文書・画像の窃取でアカウント乗っ取りや詐欺・成り済まし・恐喝を助長
– Bitdefenderは配布手法とCastleLoader検知のIoC/手順を提示し、従来技術的対策だけでは断ち切りにくい配布機構への対抗として、多層防御・不審DL回避・手動コマンド禁止・パスワード変更・MFA・挙動監視を推奨