Lumma Stealer adalah Malware yang muncul pertama kali pada tahun 2022 di forum berbahasa Rusia melalui model Malware as a Service (MaaS). Tujuan utamanya adalah untuk mencari data sensitive seperti data login user, informasi kartu kredit, data akun suatu bank, bahkan informasi terkait kripto. CAPTCHA yang biasanya digunakan untuk membedakan antara manusia dengan robot justru disalahgunakan untuk menutupi aktivitas berbahaya agar tidak terlihat janggal. Maka dari itu, untuk menganalisis Lumma Stealer (Fake CAPTCHA) dilakukannya tahapan-tahapan dari awal sampai akhir dengan menggunakan framework Cyber Kill Chain untuk mengidentifikasi tujuan yang biasanya dilalui oleh penyerang siber.

7 Tahapan Cyber Kill Chain:

- Reconnaissance (Proses Pengintaian) : Penyerang siber melakukan proses pengintaian dengan cara membuat banyak akun palsu GitHub atau membuat iklan palsu pada mesin pencari untuk mengecoh korban agar menginstall file pada GitHub yang biasanya berekstensi (.exe .scr) yang berisi malware ataupun masuk ke situs yang sudah dirancang oleh penyerang.

- Weaponization (Proses Persenjataan) : Penyerang siber membuat halaman web yang menyamar sebagai verifikasi CAPTCHA tersebut. Penyerang juga biasanya membuat skrip PowerShell yang dirancang agar bisa berjalan tanpa harus membuat file fisik pada Disk. Jadi, virus sulit untuk terdeteksi oleh orang awam.

- Delivery (Proses Pengiriman) : Disini penyerang melakukan proses CAPTCHA palsu yang dimana korban akan diarahkan ke situs palsu, di mana mereka diminta untuk melakukan perintah "Click to Verify" atau "Human Verification". Penyerang membuat email palsu dengan HTML yang dengan otomatis pengguna akan diarahkan ke situs yang berbahaya.

- Exploitation (Proses Eksploitasi) : Halaman CAPTCHA palsu tersebut memerintahkan korban untuk menekan Windows+R dan menempel skrip PowerShell. Awalnya ketika membuka halaman CAPTCHA tersebut skrip otomatis tersalin ke clipboard dan korban pun merasa bahwa korban sedang menyelesaikan proses keamanan yang harus dilakukan.

- Installation (Proses Instalasi) : Setelah korban melakukan proses skrip yang ditempel pada Windows+R tersebut. Maka dengan otomatis payload (metadata) utama akan ter install oleh device korban. Lalu, penyerang membuat tahap kedua yaitu Process Injection di mana penyerang akan menyusup ke system untuk menyisipkan dan mengeksekusi kode berbahaya (malware) ke dalam system korban. Dan Malware akan mengidentifikasi terlebih dahulu apakah Malware berjalan pada lingkungan virtual atau tidak dan jika Malware mendeteksi berada pada lingkungan virtual Malware akan berhenti atau menunda eksekusi tersebut.

- Command & Control (C2) : Disini fase Ketika Malware sudah berkomunikasi dengan server penyerang untuk menerima perintah yang diberikan oleh penyerang. Setelah Malware aktif Malware akan menggunakan protocol umum seperti (HTTP/HTTPS) agar tidak bisa dibedakan dibandingkan dengan aktivitas web biasa.

- Actions on Objectives (Proses Tindakan pada Tujuan) Fase terakhir dari proses penyerang adalah dengan mengambil kredensial login korban, username/password, Riwayat pencarian, bahkan data dari kripto. Data yang sudah dicuri akan diarsipkan dan dikirim ke penyerang untuk dijual ke pasar gelap atau pelelangan data hasil curian.

Berdasarkan analisis menggunakan framework Cyber Kill Chain, penyebaran Lumma Stealer melalui Fake CAPTCHA merupakan serangan yang terstruktur dan memanfaatkan rekayasa sosial sebagai kunci keberhasilannya, dimulai dari pengintaian dan pembuatan infrastruktur palsu, penyamaran halaman verifikasi untuk mengecoh korban, hingga eksploitasi yang membuat pengguna tanpa sadar menjalankan skrip berbahaya. Setelah itu malware melakukan instalasi lanjutan seperti pengunduhan payload utama, process injection, serta teknik anti-VM untuk menghindari deteksi, kemudian membangun komunikasi terenkripsi dengan server Command & Control (C2) guna menerima instruksi dan mengirimkan data curian, dan pada akhirnya menjalankan tujuannya yaitu mencuri kredensial, data finansial, serta informasi kripto untuk dimonetisasi, sehingga menunjukkan bahwa kekuatan utama serangan ini bukan pada eksploitasi teknis yang kompleks, melainkan pada manipulasi kepercayaan dan kelengahan pengguna yang dimanfaatkan secara sistematis di setiap tahapan serangan.