For knap et år siden lignede det en af de sjældne, tilfredsstillende dage på internettet: Lumma Stealer – en infostealer, der på bare to måneder nåede at ramme næsten 395.000 Windows-maskiner – fik kappet en stor del af sin infrastruktur i en international operation. 2.300 domæner, command-and-control og markedspladser røg i svinget. Det var den slags “takedown”, der får dashboards til at se pænere ud og pressemeddelelser til at føles som en sejr.
Nu melder forskere, at Lumma er “back at scale”. Ikke som nostalgisk comeback-turné, men som en mere strømlinet udgave, der igen høster credentials og følsomme filer – denne gang med ClickFix-lokkemad kombineret med den mere avancerede CastleLoader, som gør angrebene sværere at opdage. Og ja: det er præcis den type kampagne, der lever af, at mennesker klikker på noget, der ser “hjælpsomt” ud.
Hvorfor Lumma er svær at slå ihjel
Lumma dukkede op på russisksprogede cybercrime-fora i 2022 og blev hurtigt et cloudbaseret malware-as-a-service-produkt: et abonnement på “alt det kedelige”, man ellers selv skulle bygge. Lure-sites med “gratis” cracks, spil og piratfilm, et domænenet, drift af kontrolkanaler – og en forretningsmodel, hvor premium-versioner ifølge rapporter kunne koste op til 2.500 dollars.
Den slags skalerer ubarmhjertigt. Når en platform bliver “go-to tool” for flere grupper, bliver den en del af økosystemet – som en grim, men effektiv standard. Og selv når myndigheder beslaglægger domæner, kan operatører flytte, spejle, genskabe og outsource drift. Takedowns er hårde, fordi internettet er godt til to ting: caching og at komme igen.
ClickFix + CastleLoader: samme gamle trick, bedre indpakning
ClickFix-bait udnytter en klassiker: at få brugeren til selv at udføre “reparationen”. Det kan være en side, der påstår, at du skal “verificere”, “opdatere”, “fikse en fejl” eller gennemføre et trin, der i praksis åbner døren for malware. Kombineret med en loader som CastleLoader bliver leveringskæden mere fleksibel: først en letvægts-installør, så payloaden, så udvidelser – og pludselig har du en maskine, der afleverer login-data til en ekstern infrastruktur.
Det lyder Windows-centreret (og det er det her), men mekanikken er universel: stjålne adgangskoder, session-cookies og MFA-bypass via token-tyveri er præcis den type “bro” der kan føre til alt fra mailkonti til SaaS, og derfra videre til iCloud, Apple ID, Google, Slack, og den administrative overbygning, der i virksomheder ofte ender i MDM-politik og device-udrulning. Din Mac kan være sikker, men din identitet kan stadig være den bløde mave.
Det mest interessante her er…
Det mest interessante her er, hvor hurtigt et økosystem kan genopstå, når produktet er gjort idiot-sikkert – for angriberen. Når “infrastruktur” kan købes som service, bliver en nedlukning mere en forsinkelse end en stopper. Og når ClickFix-lokkemad virker, er det fordi det spiller på noget dybt menneskeligt: ønsket om, at computeren bare skal makke ret. Ironisk nok er “Fix”-knappen ofte bare en “Indbetal her”-knap med ekstra trin.
Min vurdering er, at den praktiske konsekvens for Apple-folk ikke er panik, men prioritering: Identitetssikkerhed er nu lige så vigtig som enhedssikkerhed. Du kan have Apple Silicon, Face ID, Touch ID og en opdateret iOS/macOS-stack – men hvis dine login-data kompromitteres på en anden maskine, kan det stadig ramme dine konti, dine backups og dine synkroniserede tjenester gennem iCloud. Infostealers er blevet den digitale udgave af at efterlade nøglen under måtten. Tyven behøver ikke bryde døren op, hvis du selv har gjort det “nemt”.
Hvis du vil følge flere sikkerhedshistorier og Apple-vinkler, kan du søge hos We❤️Apple.
Sådan tænker du “Apple-first” uden at blive blind for resten
Apple-økosystemet hjælper – men det er ikke en magisk kappe. Find My redder din stjålne hardware, ikke dine stjålne sessioner. iMessage er krypteret, men phishing kan stadig komme ind via mail, sms, eller “kundeservice”-popups. Og selv en stram opsætning på MacBook kan undermineres, hvis din arbejdsidentitet bliver kompromitteret et andet sted (fx på en kollegas Windows-PC, der deler adgang til fælles systemer).
For virksomheder er pointen endnu mere jordnær: incident response skal ikke kun fokusere på endpoints, men på tokens, SSO, cookies, og adgangsgrupper. Kort sagt: når infostealers er tilbage i stor skala, bør man antage, at lækket starter med en browser-session, ikke en “hacker i hoodie”.
Vil du dykke mere ned i “hvorfor” bag infostealers og de typiske angrebskæder, så læs også vores dækning via malware-søgen.
Dela: