Bu rehber, gerçek LummaStealer örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

LummaStealer Nedir?

LummaStealer, ilk olarak 2022 yılında gözlemlenen bir Bilgi Hırsızı (Infostealer)'dır. Temel amacı tarayıcı şifreleri, oturum çerezleri, kripto cüzdanları ve sistem bilgilerini olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

LummaStealer (LummaC2) is a C-based infostealer sold as MaaS. Steals credentials, crypto wallets, browser data. Highly active 2023-2025. Uses dead drop resolvers.

Atıf / Tehdit Aktörü: Unknown (Eastern European actor suspected)

Teknik Detay: LummaStealer (LummaC2) is a C-based information stealer sold as Malware-as-a-Service since 2022. Targets 40+ browser extensions, crypto wallets (MetaMask, Exodus, Electrum, Binance, Coinbase, Atomic), browser credentials/cookies, 2FA authenticator databases, FTP clients, and custom file patterns. Us

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek LummaStealer örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
21fd32c7e7fa106466bcd80bfc22263be9b415a583daf4f3f9a698f7d1aa9f46SHA256LummaStealer
2a270526c683d00acfd007a4ddb502168e4ad4e541767e528abbd23be5ccc6f3SHA256LummaStealer
87053d0ad81ac3367ef5e6305f4cf4eec11776e94971f3f54bc66eaddf756eb5SHA256LummaStealer
c1c184605fe5cf542ca36819035815d9fa5d96e2d3c56c2f641f220518241c89SHA256LummaStealer
b9e5ca7d2cbb2bc6a554e1fc68e9b43d31dee96bd040acd52e78b9f19077a655SHA256LummaStealer
8d3221aaa4e43dec4d25b67adfa48823MD5LummaStealer
39ce634a11142fe9fedd5b9efb18580cMD5LummaStealer
43bfb580c664206153734859442ead26MD5LummaStealer
afee388a90f33b3ad0c7536b2888d2f2MD5LummaStealer
df197257bf3a488033b9b6fe82363256MD5LummaStealer

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — LummaStealer Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Çalınan Verileri Koruma Altına Alın

Temizleme sonrası tüm önemli hesaplarınızı farklı ve temiz bir cihazdan derhal değiştirin:

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.