Foi detectado um aumento significativo nas infecções pelo malware LummaStealer, impulsionado por campanhas de engenharia social que utilizam a técnica ClickFix para distribuir o CastleLoader, um malware loader.
O LummaStealer, também conhecido como LummaC2, é uma plataforma de malware-as-a-service (MaaS) focada no roubo de informações sensíveis.
Em maio de 2025, uma grande operação conjunta entre empresas de tecnologia e autoridades legais resultou na apreensão de 2.300 domínios e no desmantelamento da infraestrutura central de comando que sustentava esse serviço malicioso.
Esse tipo de infostealer tem como alvo dados variados, como credenciais e cookies armazenados em navegadores, detalhes de carteiras de criptomoedas, documentos, tokens de autenticação, configurações de VPN e informações de contas.
Embora a ação das autoridades tenha causado impacto significativo, as atividades relacionadas ao LummaStealer começaram a se restabelecer em julho de 2025.
Um relatório recente da empresa de cibersegurança Bitdefender alerta que, entre dezembro de 2025 e janeiro de 2026, a operação do LummaStealer cresceu consideravelmente.
Atualmente, o malware está sendo distribuído por meio do CastleLoader, com uso crescente das técnicas ClickFix.
De acordo com pesquisadores da Bitdefender, “o CastleLoader está no centro de muitas dessas campanhas, desempenhando papel crucial na distribuição do LummaStealer.
Seu modelo modular, execução totalmente em memória, extensa obfuscação e comunicação flexível com servidores de comando e controle o tornam altamente eficaz para distribuição em larga escala.”
O CastleLoader surgiu no início de 2025 e é conhecido por distribuir diversas famílias de infostealers e trojans de acesso remoto — como Stealc, RedLine, Rhadamanthys, MonsterV2, CastleRAT, SectopRAT, NetSupport RAT e WarmCookie — empregando diversas técnicas, incluindo o ClickFix.
Trata-se de um loader baseado em scripts (AutoIT ou Python), fortemente ofuscado, que descriptografa, carrega e executa o payload LummaStealer inteiramente na memória, evitando a escrita direta no disco.
Sua ofuscação envolve múltiplas camadas: renomeação de variáveis e funções a partir de dicionários, decodificação de strings em tempo de execução, inserção de código inútil e trechos mortos, além de operações aritméticas e lógicas simplificadas.
Antes de executar o LummaStealer, o CastleLoader realiza verificações de ambiente e sandbox para detectar análises.
Também ajusta seus caminhos de arquivos e locais de persistência conforme os softwares de segurança identificados na máquina infectada.
A persistência é garantida por meio da cópia do script malicioso AutoIT para um caminho específico, duplicação do interpretador para outro local e criação de um atalho de internet (arquivo .url) na pasta de inicialização, que executa o interpretador com o script como argumento.
A Bitdefender identificou que o CastleLoader tenta deliberadamente uma consulta DNS a um domínio inexistente, gerando uma falha de DNS.
Esse comportamento pode servir como indicador para detectar a ameaça.
Em novembro, pesquisadores do Insikt Group, da Recorded Future, já haviam encontrado um domínio na infraestrutura do CastleLoader que funcionava como servidor de comando e controle (C2) do LummaStealer, indicando a conexão inicial entre essas operações.
Atualmente, o LummaStealer se propaga por diversos canais, incluindo instaladores trojanizados, softwares piratas baixados de sites falsos ou torrents, além de arquivos falsos de mídia e jogos, em campanhas que têm como alvo países de várias regiões do mundo.
A técnica ClickFix, considerada um vetor de infecção altamente eficaz nessas campanhas, funciona assim: o usuário é direcionado a páginas falsas de CAPTCHA ou verificação, que fornecem instruções detalhadas para executar um comando malicioso em PowerShell, previamente copiado para a área de transferência.
Esse comando baixa e executa um script malicioso do servidor do atacante na máquina local.
O payload entregue é o CastleLoader e, em alguns casos, ele busca e executa o infostealer LummaStealer.
Para se proteger, a Bitdefender recomenda evitar baixar e executar softwares ou mídias, especialmente executáveis (.EXE), de fontes não confiáveis ou não oficiais.
Executar comandos no PowerShell ou em terminais a partir de processos de verificação de sites pode indicar atividade maliciosa e deve ser evitado caso o usuário não compreenda a ação.
De modo geral, o conselho é evitar softwares piratas (como cracks ou ferramentas “desbloqueadas”) e usar bloqueadores de anúncios para impedir redirecionamentos a sites maliciosos promovidos em pesquisas no Google.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...