El panorama de la ciberseguridad ha sido testigo de un aumento significativo en el malware de robo de información, con Lumma emergiendo como una de las amenazas más frecuentes y sofisticadas que se dirigen a los sistemas de Windows a nivel mundial.
Este robador de información basado en C ++ ha ganado rápidamente tracción en los mercados subterráneos, estableciéndose como una operación formidable de malware como servicio (MAAS) que ha infectado a cientos de miles de computadoras en todo el mundo.
La sofisticada cadena de infección de múltiples etapas del malware y las técnicas de evasión avanzada lo han convertido en un desafío persistente para los investigadores y organizaciones de seguridad por igual.
El ascenso de Lumma a la prominencia se puede atribuir a sus capacidades integrales de robo de datos y una red de distribución robusta.
El malware se dirige sistemáticamente a las bases de datos del navegador, las billeteras de criptomonedas, las credenciales de los usuarios y los documentos confidenciales, lo que lo hace particularmente peligroso tanto para los usuarios individuales como para los entornos corporativos.
Sus operadores han aprovechado varios vectores de ataque, incluidas las campañas de phishing, los archivos adjuntos maliciosos y los sitios web comprometidos, para lograr una distribución generalizada en diferentes regiones geográficas.
La mayoría de las familias de malware reportadas (fuente – sin garantía)
Analistas de seguridad identificado Lumma durante su análisis de muestras de código abierto entre febrero y marzo de 2025, revelando el sofisticado proceso de infección de tres etapas del malware.
Los investigadores encontraron esta amenaza varias veces durante sus investigaciones, señalando su creciente prevalencia en el panorama de amenazas.
Su análisis integral descubrió la compleja cadena de infecciones del malware, comenzando con un cargador .NET/C# que sirve como punto de entrada inicial para la secuencia de ataque.
La escala del impacto de Lumma se hizo evidente cuando el equipo de inteligencia de amenazas de Microsoft informó que entre marzo y mayo de 2025, identificaron más de 394,000 computadoras de Windows a nivel mundial infectadas por este robador.
Esta tasa de infección masiva provocó una acción de aplicación de la ley internacional coordinada, con el Departamento de Justicia de los Estados Unidos, Europol y el Centro de Crimen Cibercrimen de Japón, confiscando con éxito el panel de control de Lumma y la infraestructura en todo el mundo, aunque los actores de amenazas han mostrado signos de actividad continua a pesar de esta interrupción.
Mecanismos avanzados de evasión e infección
La sofisticación técnica de Lumma se encuentra en su enfoque de varias capas para evadir la detección y el análisis.
El malware emplea un proceso de infección de tres etapas que comienza con un ejecutable de .NET lleno que sirve como cargador inicial.
Cadena de infección (fuente – con seguridad)
Esta primera etapa realiza comprobaciones críticas del sistema, incluida la validación de los encabezados de DOS y PE a través de comparaciones de bytes específicas:-
// verificaciones de validación de la etapa 1 bitConverter.toint16 (fileBytes, 0) == 23117 // MZ Verificación de encabezado BitConverter.TouInt32 (FileByTes, 60) == 17744 // Validación de encabezado PE Validación
El cargador luego extrae y descifra la carga útil de la segunda etapa de una sección específica (.code) utilizando una rutina de descifrado personalizado, antes de utilizar la función de la API de Windows, CallWindowProca como un vector de ejecución para transferir el control al código de shell de descifrado.
Tráfico de red (fuente – WithSegure)
La segunda etapa demuestra técnicas avanzadas de hueco del proceso, creando un proceso suspendido de sí mismo y reemplazando sistemáticamente su contenido de memoria.
El malware resuelve dinámicamente las API de Windows críticas analizando el bloque de entorno de proceso (PEB) y las tablas de direcciones de exportación, evitando dependencias de importación estática que podrían desencadenar soluciones de seguridad.
Inyección de proceso remoto (fuente – WithSecure)
Quizás lo más notable, Lumma implementa la técnica de “Puerta del cielo” en su tercera etapa, pasando entre modos de ejecución de 32 bits y 64 bits para ejecutar llamadas del sistema directamente.
Gráfico de infección (Fuente – Con Secure)
Este enfoque sofisticado implica saltos lejanos a diferentes segmentos de código e invocación directa de Syscall, particularmente usando ntraiseharderror para mostrar diálogos de advertencia engañosos.
El malware incorpora múltiples características anti-análisis, incluida una verificación de auto-integridad que compara 20 bytes de la memoria de su proceso de ejecución contra el archivo original para detectar intentos de desempaquetado.
Además, realiza una verificación de idiomas específicamente dirigida a sistemas no rusos llamando a getUserDefaultuilanguage y comparando el resultado con el identificador de idioma ruso (0x419), demostrando su naturaleza objetivo y su posible atribución con los actores de amenazas de habla rusa.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
