Una operación en expansión realizada por las agencias globales de aplicación de la ley y un consorcio de empresas del sector privado ha interrumpido la infraestructura en recorrido asociada con un robador de información de productos básicos conocido como Lumma (asimismo conocido como Lummac o Lummac2), tomando 2.300 dominios que actuaron como el comando y el control (C2) Backbone to Commanding Windows Systems.
“El malware como LumMac2 se implementa para robar información confidencial, como las credenciales de inicio de sesión del heredero de millones de víctimas para solucionar una gran cantidad de delitos, incluidas las transferencias bancarias fraudulentas y el robo de criptomonedas”, dijo el Sección de Rectitud de los Estados Unidos (DOJ) en un comunicado.
La infraestructura confiscada se ha utilizado para atacar a millones en todo el mundo a través de afiliados y otros ciberdelincuentes. Se estima que Lumma Stealer, activo desde finales de 2022, se ha utilizado en al menos 1,7 millones de instancias para robar información, como datos del navegador, información de enfoque inevitable, credenciales de inicio de sesión y frases de semillas de criptomonedas. La Oficina Federal de Investigación de los Estados Unidos (FBI) ha atribuido aproximadamente de 10 millones de infecciones a Lumma.
La incautación impacta a cinco dominios que sirven como paneles de inicio de sesión para los administradores de Lumma y los clientes que pagan a los clientes para que desplegaran el malware, evitando así que comprometan las computadoras y roben información de víctimas.
“Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó más de 394,000 computadoras de Windows a nivel mundial por el malware Lumma”, dijo Europol, y agregó que la operación reduce las comunicaciones entre la utensilio maliciosa y las víctimas. La agencia describió a Lumma como la “amenaza de infantes de infantes más significativa del mundo”.
La Pelotón de Delitos Digitales (DCU) de Microsoft, en asociación con otras compañías de ciberseguridad, Bitsight, Lumen, Cloudflare, CleanDNS y GMO Registry, dijo que eliminó aproximadamente 2.300 dominios maliciosos que formaron la columna vertebral de la infraestructura de Lumma.
 |
| Propagación de infecciones de malware de Lumma Stealer en dispositivos Windows |
“El desarrollador principal de Lumma tiene su sede en Rusia y pasa por el apelativo de Internet ‘Shamel'”, dijo Steven Masada, Asesor Común Asistente de DCU. “Shamel comercializa diferentes niveles de servicio para Lumma a través de Telegram y otros foros de chat en idioma ruso. Dependiendo de qué servicio sea una adquisición cibercriminal, pueden crear sus propias versiones del malware, adicionar herramientas para ocultarlo y distribuirlo, y rastrear la información robada a través de un portal en recorrido”.
El robador, comercializado bajo un maniquí de malware como servicio (MAAS), está acondicionado en una suscripción por cualquier extensión de entre $ 250 y $ 1,000. El desarrollador asimismo ofrece un plan de $ 20,000 que otorga a los clientes golpe al código fuente y al derecho de venderlo a otros actores penales.
 |
| Recuentos semanales de nuevos dominios C2 |
“Los niveles inferiores incluyen opciones básicas de filtrado y descarga de registros, mientras que los niveles más altos ofrecen sumario de datos personalizados, herramientas de diversión y golpe temprano a nuevas características”, dijo Eset. “El plan más caro enfatiza el sigilo y la adaptabilidad, ofreciendo una procreación de construcción única y una detección escasa”.
Con los abriles, Lumma se ha convertido en una amenaza notoria, entregada a través de varios vectores de distribución, incluido el método ClickFix cada vez más popular. El fabricante de Windows, que está rastreando al actor de amenazas detrás del robador bajo el nombre de Storm-2477, dijo que su infraestructura de distribución es tanto “dinámica y resistente”, aprovechando una combinación de phishing, malvertición, esquemas de descarga, injusticia de plataformas confiables y sistemas de distribución de tráfico como Prometeo.
 |
| Mecanismo de selección de Lumma C2 |
Cato Networks, en un documentación publicado el miércoles, reveló que los presuntos actores de amenazas rusas están aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de la infraestructura de Oracle Cloud (OCI) y el almacenamiento de objetos de escamas para introducir páginas falsas de recaptcha que utilizan señuelos de estilo ClickFix para engañar a los usuarios en descargar el Stealer Lumma.
“La flamante campaña que aprovecha el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basan en métodos anteriores, introduciendo nuevos mecanismos de entrega destinados a evitar la detección y dirigirse a usuarios técnicamente competentes”, dijeron investigadores Guile Domingo, Guy Waizel y Tomer Agayev.
 |
| Flujo de ataque para ClickFix que conduce a Lumma Stealer usando Prometheus TDS |
Algunos de los aspectos notables del malware están a continuación –
- Emplea una infraestructura C2 de nivel múltiple que consiste en un conjunto de nueve dominios de nivel 1 que cambian frecuentemente 1 codificados en la configuración del malware y los C2 alojados alojados en perfiles de vapor y canales de telegrama que apuntan a TIER-1 C2S
- Las cargas bártulos generalmente se distribuyen utilizando redes de plazo por instalación (PPI) o vendedores de tráfico que entregan instalaciones como servicio.
- El robador generalmente está incluido con software falsificado o versiones agrietadas de software comercial popular, dirigidos a los usuarios que buscan evitar satisfacer licencias legítimas
- Los operadores han creado un mercado de telegrama con un sistema de calificación para afiliados para traicionar datos robados sin intermediarios
- El binario central se ofusca con protección avanzadilla, como máquina imaginario de bajo nivel (Core LLVM), aplanamiento de flujo de control (CFF), ofuscación de flujo de control, descifrado de pila personalizada, enormes variables de pila y códigos muertos, entre otros, entre otros para hacer que el examen inmóvil sea difícil
- Hubo más de 21,000 listados de mercado que venden registros de Stealer Lumma en múltiples foros cibercriminales de abril a junio de 2024, un aumento del 71.7% desde abril hasta junio de 2023
“La infraestructura de distribución de Lumma STALER es flexible y adaptable”, dijo Microsoft. “Los operadores refinan continuamente sus técnicas, rotando dominios maliciosos, explotando redes publicitarias y aprovechando los servicios de nimbo legítimos para evitar la detección y apoyar la continuidad operativa. Para ocultar aún más los servidores C2 reales, todos los servidores C2 están ocultos detrás del proxy de Cloudflare”.
“Esta estructura dinámica permite a los operadores maximizar el éxito de las campañas, al tiempo que complica los esfuerzos para rastrear o desmantelar sus actividades. El crecimiento y la resiliencia del robador de Lumma destaca la proceso más amplia del delito cibernético y subraya la exigencia de defensas en capas y colaboración de la industria para contrarrestar las amenazas”.
En una entrevista con el investigador de seguridad G0NJXA en enero de 2025, el desarrollador detrás de Lumma dijo que tenían la intención de dejar de trabajar para el próximo otoño. “Hemos trabajado mucho durante dos abriles para conquistar lo que tenemos ahora”, dijeron. “Estamos orgullosos de esto. Se ha convertido en parte de nuestra vida diaria para nosotros, y no solo el trabajo”.
