Las vastas operaciones llevadas a cabo por un consorcio de empresas globales de la ley y el sector privado interrumpen la infraestructura en línea asociada con la información del producto Steeler conocida como Lumma (también conocida como Lummac o Lummac2), incautó 2.300 dominios que operan desde una ventana infectada con comando y control (C2).
«El malware como LumMac2 se implementa para robar información confidencial, como las credenciales de inicio de sesión de los usuarios de millones de víctimas, y para promover muchos delitos, incluidas las transferencias bancarias fraudulentas y el robo de criptomonedas», dijo el Departamento de Justicia de los Estados Unidos (DOJ) en un comunicado.
La infraestructura prohibida es utilizada por millones de objetivos en todo el mundo a través del marketing de afiliación y otros cibercriminales. Se estima que el robador de Lumma, que ha estado activo desde finales de 2022, está siendo utilizado por al menos 1.7 millones de instancias para robar información, como datos del navegador, información de enfoque automático, credenciales de inicio de sesión y frases de semillas de criptomonedas. La Oficina Federal de Investigación de los Estados Unidos (FBI) atribuye aproximadamente 10 millones de infecciones a Lumma.
El ataque actúa como el Panel de inicio de sesión de Administrador para Lumma Stealer y afecta los cinco dominios que paga a sus clientes para implementar malware.
«Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identificó más de 394,000 computadoras de Windows infectadas con malware Lumma», dijo Europol, reduciendo la comunicación entre herramientas maliciosas y víctimas. La agencia describió a Lumma como «la amenaza de InfoSealer más importante del mundo».
La Unidad de Crimen Digital (DCU) de Microsoft dijo que había trabajado con otras compañías de ciberseguridad ESET, Bitsight, Lumen, CloudFlare, CleanDNS y GMO para eliminar aproximadamente 2.300 dominios maliciosos que formaron la columna vertebral de la infraestructura de Lumma.
Difundir la infección de malware de Lumma Strealer en dispositivos Windows
«Los principales desarrolladores de Lumma tienen su sede en Rusia y pasarán por el alias de Internet» Shamel «, dijo Steven Masada, asesor asistente de DCU.» Shamel vende varios niveles de servicio de Lumma a través de Telegram y otros foros de chat rusos. Dependiendo del servicio de compras cibernéticas, puede crear su propia versión de malware y agregar herramientas para rastrear información robada a través de un portal en línea «.
Los Steelers vendidos bajo el modelo de Malware como Servicio (MAAS) están disponibles por suscripción, que van desde $ 250 a $ 1,000. Los desarrolladores también ofrecen un plan de $ 20,000 que otorga acceso a los clientes al código fuente y al derecho a vender a otros delincuentes.
Conteo semanal para nuevos dominios C2
«La capa inferior incluye opciones básicas de filtrado y descarga de registros, mientras que el nivel superior proporciona acceso temprano a la recopilación de datos personalizados, herramientas de evasión y nuevas características», dijo Eset. «Los planes más caros destacan el sigilo y la adaptabilidad, proporcionando reducciones únicas de generación y detección de construcción».
Con los años, Lumma se ha convertido en una amenaza notoria, y se ha distribuido a través de una variedad de vectores de distribución, incluidos los métodos ClickFix cada vez más populares. El fabricante de Windows rastrea a los actores de amenaza detrás del Steeler bajo el nombre de Storm-2477, pero dice que su infraestructura de distribución es «dinámica y resistente», aprovechando una combinación de phishing, fraude, esquemas de descarga, abuso de plataforma confiable y sistemas de entrega de tráfico como Prometeo.
Mecanismo de selección de Lumma C2
En un informe publicado el miércoles, Cato Networks reveló que los actores de amenaza rusos están aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de Oracle Cloud Infrastructure (OCI) y el almacenamiento de objetos de escamas, que aloja señuelos de estilo ClickFix para descargar Lumma Stealer utilizando tiros de estilo ClickFix.
«Las campañas recientes que aprovechan el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basan en métodos anteriores e introducen nuevos mecanismos de distribución destinados a evitar y dirigirse a usuarios técnicamente calificados».
Flujo de ataque de clickFix que conduce a Lumma Stealer usando Prometheus TDS
Algunos de los aspectos notables del malware se enumeran a continuación –
Emplea una infraestructura C2 de varios niveles que consiste en un conjunto de dominios de nivel 1 de cambio frecuente que están codificados en las configuraciones de malware, y un conjunto de dominios de nivel 1 que cambian frecuentemente que están codificados en perfiles de vapor y canales de telegrama que se refieren a los C2 de nivel 1. Los Steelers generalmente se incluyen con software falsificado o versiones descifradas de software comercial popular, donde los usuarios que intentan evitar pagar las licencias legales crean mercados de telegrama con sistemas de calificación para que los operadores vendan datos robados para afiliados para controlar binarios centrales y controlar binarios centrales con protecciones avanzadas como el flujo de control. Para dificultar el análisis estático, incluida la ofuscación, la decodificación de la pila personalizada, las enormes variables de la pila y el código muerto, hubo más de 21,000 listados de mercado que venden registros de Lumma Stealer en múltiples foros de delito cibernético de abril a junio de 2024, un aumento del 71.7% de junio a junio de 2023.
«La infraestructura de distribución de Lumma STALER es flexible y adaptable», dijo Microsoft. «Los operadores mejoran continuamente sus técnicas, giran dominios maliciosos, explotan las redes publicitarias, aprovechan los servicios de nube legítimos para evitar la detección y mantener la continuidad operativa. Para ocultar aún más los servidores C2 reales, todos los servidores C2 están ocultos detrás del proxy de CloudFlare».
«Esta estructura dinámica complica los esfuerzos de los operadores para rastrear o desmantelar actividades al tiempo que maximiza el éxito de la campaña. El crecimiento y la resiliencia de Lummtealer destacan la evolución más amplia del delito cibernético, destacando la amenaza en capas y la necesidad de una cooperación en capas para contrarrestar la amenaza».
La compañía de infraestructura web Cloudflare dijo que había colocado una nueva página de advertencia de Interstick habilitada para el estilo de turno frente al dominio del servidor C2 del actor malicioso y el dominio del mercado, tomando medidas contra las cuentas utilizadas para configurar el dominio.
«Esta confusión funcionó para suprimir completamente las operaciones cada pocos días, eliminar un número considerable de nombres de dominio y, en última instancia, bloquear la capacidad de cometer delitos cibernéticos y ganar dinero». «Este esfuerzo ha llevado una cantidad considerable de llave a una buena cantidad de infraestructura de infraestructura global, al igual que los actores de amenaza, pero las personas detrás de Lumma cambiarán sus tácticas y reanudarán sus campañas en línea».
En una entrevista con el investigador de seguridad G0NJXA en enero de 2025, el desarrollador detrás de Lumma dijo que tiene la intención de detener las operaciones para el otoño del próximo año. «Hemos trabajado mucho durante los dos años para lograr lo que tenemos ahora», dijeron. “Estamos orgullosos de esto, y se ha convertido en parte de nuestra vida diaria.
Source link
