A operação de malware infostealer Lumma está retomando gradualmente as atividades após uma massiva operação de aplicação da lei em maio, que resultou na apreensão de 2.300 domínios e partes de sua infraestrutura.
Embora a plataforma Lumma malware-as-a-service (MaaS) tenha sofrido interrupções significativas devido à ação da aplicação da lei, conforme confirmado por relatórios no início de junho sobre a atividade de infostealer, ela não foi completamente desativada.
Os operadores reconheceram imediatamente a situação em fóruns XSS, mas alegaram que seu servidor central não havia sido apreendido (embora tivesse sido remotamente apagado), e os esforços de restauração já estavam em andamento.
Gradualmente, o MaaS se reconstruiu e recuperou a confiança dentro da comunidade de cibercrime, facilitando novamente operações de roubo de informações em múltiplas plataformas.
De acordo com analistas da Trend Micro, a Lumma quase retornou aos níveis de atividade anteriores à intervenção, com a telemetria da firma de cibersegurança indicando uma reconstrução rápida de infraestrutura.
"Após a ação de aplicação da lei contra o Lumma Stealer e sua infraestrutura associada, nossa equipe observou claros sinais de ressurgimento nas operações da Lumma," declara o relatório da Trend Micro.
A telemetria da rede indica que a infraestrutura da Lumma começou a aumentar novamente dentro de semanas após a intervenção.
A Trend Micro relata que a Lumma ainda usa infraestrutura de nuvem legítima para ocultar tráfego malicioso, mas agora se deslocou da Cloudflare para provedores alternativos, mais notavelmente o russo Selectel, para evitar derrubadas.
Os pesquisadores destacaram quatro canais de distribuição que a Lumma atualmente usa para conseguir novas infecções, indicando um retorno completo para alvos multifacetados.
- Cracks/falsificações de keygens: Cracks de software falsos e keygens são promovidos via malvertising e resultados de busca manipulados.
As vítimas são direcionadas a sites enganosos que identificam seu sistema usando Sistemas de Detecção de Tráfego (TDS) antes de servir o Lumma Downloader.
- ClickFix: Sites comprometidos exibem páginas fake de CAPTCHA que enganam usuários a executarem comandos PowerShell.
Esses comandos carregam o Lumma diretamente na memória, ajudando a evitar mecanismos de detecção baseados em arquivos.
- GitHub: Atacantes estão ativamente criando repositórios no GitHub com conteúdo gerado por IA anunciando truques falsos para jogos.
Esses repositórios hospedam payloads Lumma, como "TempSpoofer.exe," seja como executáveis ou em arquivos ZIP.
- YouTube/Facebook: A distribuição atual da Lumma também envolve vídeos no YouTube e posts no Facebook promovendo software crackeado.
Esses links levam a sites externos hospedando o malware Lumma, que às vezes abusa de serviços confiáveis como sites.google.com para parecerem credíveis.
O ressurgimento da Lumma como uma ameaça significativa demonstra que a ação de aplicação da lei, desprovida de prisões ou pelo menos de acusações, é ineficaz para deter esses atores de ameaças determinados.
Operações de MaaS, como a Lumma, são incrivelmente lucrativas, e os principais operadores por trás delas provavelmente veem a ação da aplicação da lei como obstáculos de rotina que simplesmente precisam navegar.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...