Kortgeleden belde een klant ons met de volgende vraag: “We hadden deze week bijna een incident. Een collega moest een CAPTCHA oplossen waarbij om opvallende handelingen werd gevraagd. Gelukkig had m’n collega door dat er iets niet in de haak was, en is erger voorkomen. Maar als mijn collega het niet goed had gezien, waren we dan beschermd geweest?”
Da’s een hele goeie vraag. Want dit liep goed af, maar het is wel vaak hoe malwarecampagnes in hun werk gaan: het verleiden van een potentieel slachtoffer om een ogenschijnlijk onschuldige, bekende actie uit te voeren. Het bleek in het bovenstaande geval te gaan om de Lumma Stealer malware. Die staat erom bekend zich via malafide CAPTCHA’s te verspreiden. En de vraag van de klant is terecht: als het een keer niet goed afloopt, welke bescherming heb je dan nodig?
Wat is Lumma Stealer?
Lumma Stealer is sinds 2022 actief, en wordt gebruikt om gevoelige informatie te verzamelen uit bijvoorbeeld browsersessies, cryptowallets, session tokens en andere software. Die informatie wordt vervolgens doorgestuurd naar de server van de cybercriminelen. Kortgezegd: een infectie met Lumma zet de voordeur van je netwerk wagenwijd open.
Lumma is ook een zogeheten “MaaS”: Malware-as-a-Service. Iedereen met een paar tientjes en slechte bedoelingen kan Lumma kopen of huren via fora op het dark web. Net zoals wij een Netflix- op VPN-abonnement afsluiten. Dat is ook de reden dat deze threat na een aantal jaar nog steeds springlevend en relevant is. De malware wordt voortdurend geüpdatete, blijft zich ontwikkelen, en zelfs de minst technisch bekwame crimineel kan ermee uit de voeten. Want als je het even niet begrijpt, dan is er gewoon een klantenservice die je op weg helpt. Lumma is dus een behoorlijk probleem wat je liever buiten de deur houdt.
Lumma is geen botte bijl die via de voordeur binnenkomt, maar een digitale zakkenroller: stil, snel en onopvallend. De malware is ontworpen om juist detectie te ontwijken, en doet dat verrassend effectief. Zo wordt de payload meestal verpakt met packers en obfuscatie om signature-gebaseerde detectie tegen te gaan. Daarnaast maakt Lumma gebruik van anti-sandbox- en anti-VM-technieken: het controleert of het in een virtuele omgeving draait, en doet dan helemaal niets. Geen netwerkverkeer, geen bestandsactiviteit, niets verdachts. Zo glipt het langs traditionele gedragsonderkenning. Daarbovenop verstuurt Lumma exfiltratie-data via versleutelde kanalen, vaak via legitiem ogende processen, waardoor zelfs geavanceerdere tools het niet altijd opmerken. En dat alles in userland, zonder admin-rechten of opvallende systeemcalls.
Hoe kun je Lumma Stealer voorkomen?
Het roept de vraag op: als deze malware zich zo goed verstopt, welke tooling is dan wél in staat om in te grijpen vóórdat het kwaad is geschied? Onze hypothese: omdat Lumma zich als MaaS constant ontwikkelt, is gelaagde, geavanceerde malware-herkenning nodig. We waren vooral benieuwd hoe een slimme, op deep learning-gebaseerde verdediging presteert naast een traditionele security-oplossing.
In onze testomgeving lieten we daarom zowel Windows Defender als Deep Instinct los op een identiek Lumma-sample. Beide systemen draaiden in een gelijkwaardige, representatieve setting. En het resultaat was overduidelijk: waar Windows Defender geen enkele waarschuwing gaf en de malware zijn gang kon gaan, greep Deep Instinct direct in. Het bestand werd al vóór uitvoering geblokkeerd, zonder dat er gedrag geanalyseerd hoefde te worden, zonder dat er netwerkverkeer op gang kwam, zonder enige zichtbare dreiging.
En dat verschil is precies waar het om draait.
Zoals eerder beschreven, ontwijkt Lumma klassieke detectie door zich te gedragen als een brave huisgenoot zolang het vermoedt dat het wordt bekeken. Maar Deep Instinct kijkt niet wat de malware doet; het kijkt waaruit de malware bestaat. Het deep learning-model is getraind op het herkennen van het DNA van kwaadaardige code. Zelfs als dat DNA netjes wordt verstopt in een versleuteld jasje, of pas na een minuut actief wordt, herkent het model de dreiging nog vóórdat het bestand een kans krijgt om te ademen. Vergelijk het met een drugshond die door een koffer heen ruikt, waar een menselijke douanier het pas ziet als iemand iets verdachts doet.
Conclusie
De uitkomst van onze test is duidelijk: Lumma glipt moeiteloos langs traditionele detectie als die puur reactief werkt. Deep Instinct liet zien dat het precies dat stuk opvangt: pre-execution, nog vóór er iets daadwerkelijk uitgevoerd wordt. Maar dat betekent niet dat Defender daarmee overbodig is. Integendeel. Waar Defender vooral sterk is in systeemintegratie, bredere baseline bescherming en post-infectie analyse, biedt Deep Instinct juist een preventieve laag daarvóór. De twee vullen elkaar aan. Het is geen of-of, maar een en-en-verhaal. Zeker bij threats zoals Lumma, die zich zo goed weten te verstoppen, heb je meerdere verdedigingslinies nodig. En een oplossing die risico’s stopt voordat ze überhaupt begonnen zijn, blijkt daarbij geen overbodige luxe.
En als je nu denkt: "Mooi verhaal, maar eerst zien, dan geloven," dan hebben we een video voor je. Daarin hebben we beide oplossingen letterlijk naast elkaar gezet, om te kijken of die pre-execution prevention-belofte waargemaakt wordt. Bekijk 'm hieronder:
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl