Pada tahun 2022, telah ditemukan malware yang disebarkan dan diperjualbelikan di dark web secara bebas. Lumma, malware yang secara efektif dapat mengambil data dari aplikasi targetnya. Data yang dapat diambil diantaranya kredensial login, informasi keuangan, dan data personal dari target. 

Malware ini secara aktif terus memperbarui dan meningkatkan kemampuannya. Lumma dapat mengambil secara detail informasi dari aplikasi-aplikasi krusial, seperti data riwayat browser dan cryptocurrency wallet. Malware ini juga dapat menginstall aplikasi jahat lainnya dalam perangkat target yang telah terinfeksi. Pada tahun 2024, Lumma telah didistribusikan dengan beberapa metode, termasuk dalam halaman CAPTCHA palsu, torrents, dan email phishing. 

Analisis Serangan Lumma 

Tindakan analisis proaktif terhadap file dan URL mencurigakan dalam environment sandbox dapat secara efektif mengurangi resiko terinfeksi malware Lumma. 

Dalam analisis ini, akan diberikan contoh dengan menggunakan software any.run sebagai environment sandbox. Software ini tidak hanya memberikan pernyataan pasti apakah program yang dijalankan dalam sandbox ini sebuah ancaman (malware, phishing, dll) atau bukan. 

Pada gambar tersebut, terlihat sebuah file arsip yang terdapat sebuah executable file. Pada saat file .exe tersebut dijalankan, sandbox akan secara otomatis mencatat seluruh proses dan aktivitas jaringan yang terjadi. Dalam hal ini diperlihatkan aksi yang dilakukan Lumma. 

Pada gambar tersebut, terlihat malware ini telah melakukan koneksi dengan command-and-control (C2) server miliknya. 

Selanjutnya malware akan mulai mengambil dan menyaring data yang ada pada sistem. 

Setelah proses analisis selesai, kita dapat mengekspor laporan dari sampel yang telah dijalankan, termasuk menampilkan seluruh indicators of compromise (IOCs) and TTPs yang dapat digunakan untuk mengantisipasi dan melindungi ancaman Lumma malware dari perusahaan atau organisasi anda.