عودة لوما ستيلر بإغراءات كليكفيكس صعبة المقاومة

برمجية Lumma Stealer، وهي أداة سرقة معلومات بارزة متاحة عبر نموذج الخدمة كبرمجية خبيثة (MaaS) منذ عام 2022، شهدت عودة ملحوظة. بعد تعطيلها جزئياً من قبل السلطات في مايو 2025 الذي أغلق أكثر من 2300 نطاق تحكم، انتقل مشغلوها إلى مزودي استضافة مقاومة للتعاون مع الشرطة. تشير تقارير فبراير 2026 من Ars Technica إلى حملات حديثة تستخدم إغراءات ClickFix - وهميات CAPTCHA - مع Castleloader المتقدم لنشر Lumma على نطاق واسع.

طُورت البرمجية بلغة C بواسطة المهاجم "شامل" (الاسم المستعار Lumma)، وتركز على محافظ العملات الرقمية وإضافات المصادقة الثنائية (2FA)، بالإضافة إلى بيانات المتصفحات والوثائق. نموذج MaaS يمكّن الشركاء العالميين من تأجيرها، مما أدى إلى مئات الآلاف من الإصابات عبر قطاعات مثل الرعاية الصحية والبنوك والاتصالات.

تقنيات ClickFix تخدع المستخدمين لتنفيذ أوامر خبيثة عبر حوار تشغيل ويندوز، متجاوزة دفاعات المتصفح. يواجه الضحايا CAPTCHA وهمية على مواقع الإعلان الضار، مع تعليمات بلص أوامر PowerShell من الحافظة - متنكرة كخطوات تحقق. هذا الهندسة الاجتماعية تتجنب الكشف، إذ يقوم المستخدمون بتنزيل الحمولة خارج المتصفح دون إدراك.

يجلب Castleloader، وهو محمل متقدم، برمجية Lumma. يستخدم تكتيكات إخفاء مثل تجاوز واجهة فحص مضاد البرمجيات الخبيثة لويندوز (AMSI)، مع وحدات لرفع الامتيازات UAC وتعديل الملفات. تشمل الحملات إغراءات مثل برامج مشروخة وهمية أو ألعاب أو تنزيلات إباحية.

• CAPTCHA وهمية تطلب تنفيذ أمر من الحافظة.
• PowerShell يجلب الحمولات الأولية من خوادم التحكم.
• Castleloader ينشر Lumma ويرسل البيانات عبر HTTP POST.

تتجاوز آثار Lumma السرقة المباشرة. إنها تلتقط جلسات المتصفح للسيطرة على الحسابات، مفاتيح المحافظ لسحب العملات، والوثائق للاحتيال بالهوية أو الابتزاز. يواجه الضحايا خسائر فورية - أموال مسروقة - وتهديدات طويلة الأمد مثل التصيد المستهدف باستخدام الملفات الشخصية. بالنسبة للشركات، تؤدي الإصابات في الاتصالات أو البنوك إلى اختراقات مؤسسية وجرائم ثانوية.

سيناريو واقعي واحد: موظف تسويق ينزل "برنامج مجاني مشروخ" من موقع إعلان ضار. يطلب CAPTCHA ClickFix لص أمر؛ تثبت Lumma صامتة، تسطو رموز 2FA وبيانات محفظة رقمية. بعد أيام، يسحب المهاجمون 10000 دولار بيتكوين ويصلون إلى بريد الشركة لتصيد.

تستخدم Lumma وكيل مستخدم TeslaBrowser/5.5 للاتصال بخوادم التحكم، وتستهدف تطبيقات مثل عميل البريد وFTP وVPN. يحصل الشركاء في المستويات العليا على كود المصدر للتخصيص. بعد تعطيل 2025، استمرت البنية التحتية المرنة على استضافة مقاومة.

تشمل الدفاعات مراقبة السلوك لشذوذ الحافظة وإساءة PowerShell. أدوات النقاط النهائية تكشف تجاوزات AMSI؛ تدريب المستخدمين يواجه خداع ClickFix.

مع تطور Lumma بمحملات مثل Castleloader وHijackLoader، نتوقع حملات موسعة تجمع الهندسة الاجتماعية والإخفاء. تواجه السلطات تحديات من الاستضافة المقاومة، مما قد يزيد انتشار MaaS. يجب على المنظمات التركيز على خدمات الكشف والاستجابة MDR ونماذج الثقة الصفرية لتخفيف مخاطر السراق. بالنسبة للمستخدمين العاديين، يبقى اليقظة من حيل CAPTCHA أمراً حاسماً - تحقق التعليمات قبل التنفيذ.

تُبلغ فرق الأمان عالمياً عن زيادة نشاط Lumma، مما يبرز كيف يمكن لخطأ فرد واحد أن يؤدي إلى ضرر واسع للعائلات والشركات.