La breve pausa después del derribo multinacional de May de la infraestructura de Lumma Stoaler demostró ser engañoso.
En cuestión de semanas, la telemetría nuevamente se iluminó con nuevas balizas de comando y control (C2), revelando que el malware de robo de información había cambiado la promoción del mercado manifiesto por canales más tranquilos mientras expandía su base de víctimas.
En su nueva encarnación, Lumma se empaqueta con mayor frecuencia dentro de los instaladores falsificados para el software solicitado, atrayendo a los usuarios que buscan “grietas”, “KeyGens” o trampas de juegos para descargar el troyano en lugar de la herramienta gratuita prometida.
Sitio web de muestra donde se puede descargar Lumma (Fuente – Trendmicro)
Una vez que una víctima aterriza en uno de estos portales fraudulentos, JavaScript redirige silenciosamente el navegador a través de un sistema de distribución de tráfico que hace huellas digitales del host.
Si el hardware, el local y los controles de seguridad parecen rentables, el sitio sirve a una cremallera protegida con contraseña que contiene un script ejecutable de aspecto inocuo o un guión PowerShell diseñado para arremeter un robador de lumma, todo mientras evade una inspección casual.
Trend Micro Investigers notaron que la telemetría de junio y julio mostraron un rebote a los volúmenes de cuentas específicas previas a la eliminación, lo que subraya tanto la resistencia del malware como la escala de los usuarios que aún buscan aplicaciones pirateadas.
Tendencia a los micro analistas también identificado Un impulso paralelo en GitHub y plataformas sociales: los repositorios generados automáticamente anuncian “Spoofers HWID” o “Photoshop 2025 Full Crack”, pero el único activo de lanzamiento es la carga útil de Lumma.
Repositorio generado automáticamente con el archivo Lumma ‘temppoofer.exe’ (fuente – TrendMicro)
Los videos de YouTube y las publicaciones de Facebook amplifican estos enlaces, instruyendo a los espectadores a deshabilitar el antivirus antes de la instalación, un toque de ingeniería social que apilla aún más las probabilidades a favor de los atacantes.
Las consecuencias son graves, ya que una vez ejecutaron, Lumma recolecta cookies de navegador, archivos de billetera criptográfica y tokens de sesión de almacenamiento en la nube, luego las exfiltra a través de un canal C2 cifrado.
Las cuentas corporativas protegidas por la autenticación multifactorial no son inmunes; Las cookies robadas a menudo omiten las indicaciones de inicio de paso, lo que brinda a los intrusos acceso inmediato a correo electrónico, portales de colaboración o repositorios de código fuente.
Mecanismo de infección: entrega de carga útil de solo memoria
Las campañas actuales favorecen un enfoque sin archivos que frustra la lógica de detección de punto final sintonizado a artefactos de disco.
En las unidades de estilo ClickFix, los sitios web comprometidos intercambian su contenido normal por una página de captcha falsa.
Se les dice a las víctimas que presionen Win + R y ejecuten un comando PowerShell de una sola línea, que desencadenan sin saberlo un cargador en memoria que realiza un XOR descrypt de un ensamblaje de .NET incrustado, entonces Lumma mismo llama a su punto de entrada sin tocar el sistema de archivos.
Script ejecutado por la campaña ClickFix (Fuente – TrendMicro)
Un extracto condensado ilustra la rutina del núcleo:-
$ xorkey = (convert) :: fromBase64String (“Q0ywbg5iaUy4ympedw ==”) $ enc = 0x0e, 0x10,0xa0,0x6c, 0x60,0x48,0x69,0x46 $ buf = new -object byte () $ enc.length para ($ i = 0; $ i -ltlt $ enc.length; $ i ++) {$ buf ($ i) = $ enc ($ i) -bxor $ xorkey ($ i % $ xorkey.length)} (Reflection.assembly) :: load ($ buf) .Entrypoint.invoke ($ null,@()))
Debido a que no se elimina el ejecutable, los escáneres antivirus tradicionales que dependen de las firmas basadas en el hash rara vez se activan.
Tarifas de inspección de redes poco mejor: los dominios C2 giran a través de proveedores de alojamiento rusos menos conocidos como Selectel, evitando los vectores de eliminación de nubes de nubes antes y al mismo tiempo disfrutan del camuflaje de TLS.
En última instancia, el resurgimiento de Lumma muestra que los cargadores de malvertimiento de la cadena de suministro y los cargadores residentes de memoria pueden mantener viva una operación MAAS incluso después de las incautaciones de infraestructura.
Los equipos de seguridad deben combinar la educación de los usuarios sobre el software pirateado con telemetría de comportamiento que marca la creación sospechosa de procesos infantiles y las balizas de TLS de salida a dominios desconocidos si esperan cerrar la ventana que Lumma Stealer explota tan hábilmente.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
