El panorama de la ciberseguridad continúa enfrentando amenazas significativas de los sofisticados robos de información, y Lumma emerge como una de las familias de malware más frecuentes y peligrosas dirigidas a entornos de consumo y empresas.
Este software malicioso cosecha sistemáticamente volúmenes enormes de datos confidenciales de máquinas infectadas, incluidas las credenciales de inicio de sesión, la información de la billetera de criptomonedas, la información de identificación personal, los tokens de sesión y los tokens de autenticación multifactorial, esencialmente cualquier datos almacenados dentro de los navegadores web se vuelve vulnerable a la extracción.
Desarrollado por el actor de amenaza conocido como Shamel, que también funciona bajo alias Lumma y Hellscoder, este malware con sede en Rusia surgió por primera vez en foros cibercriminales en 2022 y rápidamente ganó el dominio del mercado debido a su efectividad y capacidades de sigilo.
El alcance del malware es asombroso, con el mercado dedicado de Lumma alojando más de 21,000 listados entre abril y junio de 2024, donde los paquetes de datos robados llamados “registros” se venden al mejor postor.
Analistas de Intel 471 identificado Las campañas de distribución generalizadas donde las víctimas se atraen a través de búsquedas de software pirateado, con atacantes aprovechando técnicas de optimización de motores de búsqueda y publicidad maliciosa.
La búsqueda de Google que conduce a la descarga del Lumma InfoStealer (fuente – Intel471)
La cadena de infección generalmente comienza cuando los usuarios buscan aplicaciones agrietadas utilizando consultas como “Descargar el sitio de software Cracked gratuito: Google.com”, lo que los lleva a sitios comprometidos con alojamiento en Google que finalmente entregan la carga útil de malware.
Cadenas de infección (fuente – Intel471)
Mecanismo de infección técnica y tácticas de evasión
El malware emplea un sofisticado proceso de implementación de varias etapas que comienza con los usuarios que descargan archivos zip que contienen archivos secundarios protegidos por contraseña.
Tras la extracción, las víctimas se encuentran con un instalador del sistema de instalación scriptable NullSoft (NSIS), típicamente nombrado setup.exe o setup.exe, que ejecuta la carga útil Lumma repleta de Cypherit Crypter, una herramienta diseñada para ofuscar firmas de malware y evadir la detección de seguridad.
Una vez activo, Lumma implementa técnicas de evasión avanzada utilizando utilidades legítimas de Windows. El malware crea una instancia de comando.exe que ejecuta scripts de lotes muy ofuscados, realizando el reconocimiento del entorno a través de la lista de tareas y los comandos Findstr.
Este enfoque vital de la tierra busca procesos de seguridad activos, incluidos Bitdefender, ESET, Quick Heal y Sophos, terminando inmediatamente la ejecución si se detecta.
A pesar de los esfuerzos de interrupción de la aplicación de la ley en mayo de 2025 que incautaron más de 2,300 dominios y afectaron a 394,000 máquinas infectadas a nivel mundial, los operadores de Lumma restauraron rápidamente la infraestructura, lo que demuestra la naturaleza persistente de esta amenaza.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
