Introducción a Lumma Stealer
Los actores maliciosos están utilizando mensajes de Captcha falsos para distribuir el malware Lumma Stealer, que no requiere archivos, según una investigación de la firma de ciberseguridad DNSFilter. Este malware fue detectado por primera vez en un sitio web bancario griego, donde se solicita a los usuarios de Windows que copien y peguen un mensaje en el cuadro de diálogo Ejecutar y luego presionen Enter. DNSFilter informa que sus clientes interactuaron con el Captcha falso 23 veces en un período de tres días, y el 17% de las personas que encontraron el mensaje completaron los pasos en pantalla, lo que resultó en intentos de entrega de malware.
Características y objetivos de Lumma Stealer
El Evangelista Global de Socios de DNSFilter, Mikey Pruitt, explicó que Lumma Stealer es un tipo de malware que busca credenciales y otros datos sensibles en dispositivos infectados.
«Lumma Stealer escanea inmediatamente el sistema en busca de cualquier cosa que pueda monetizar: contraseñas y cookies almacenadas en el navegador, tokens 2FA guardados, datos de billeteras de criptomonedas, credenciales de acceso remoto e incluso bóvedas de administradores de contraseñas»
declaró a Decrypt. Pruitt aclaró que los actores maliciosos utilizan los datos robados para diversos fines, que generalmente se reducen a la obtención de ganancias monetarias, como el robo de identidad y el acceso a cuentas en línea para realizar robos financieros o transacciones fraudulentas, así como para acceder a billeteras de criptomonedas.
Alcance y peligrosidad de Lumma Stealer
Lumma Stealer tiene un amplio alcance, según Pruitt, y se puede encontrar en una variedad de sitios web.
«Si bien no podemos cuantificar cuánto se podría haber perdido a través de esta única vía, esta amenaza puede existir en sitios no maliciosos»
, explicó. Lumma Stealer no solo es un malware, sino un ejemplo de Malware-as-a-Service (MaaS), que las firmas de seguridad han identificado como responsable de un aumento en los ataques de malware en los últimos años.
Desarrollo y monetización del malware
Según el analista de malware de ESET, Jakub Tomanek, los operadores detrás de Lumma Stealer desarrollan sus características y refinan su capacidad para evadir la detección de malware, mientras registran dominios para alojar el malware. Tomanek comentó a Decrypt:
«Su objetivo principal es mantener el servicio operativo y rentable, cobrando tarifas de suscripción mensuales a los afiliados, operando efectivamente Lumma Stealer como un negocio cibernético sostenible»
. Al ahorrar a los cibercriminales la necesidad de desarrollar malware y cualquier infraestructura subyacente, el MaaS como Lumma Stealer ha demostrado ser obstinadamente popular.
Acciones de las autoridades y resurgimiento del malware
En mayo, el Departamento de Justicia de EE. UU. confiscó cinco dominios de internet que los actores maliciosos estaban utilizando para operar Lumma Stealer, mientras que Microsoft eliminó de forma privada 2,300 dominios similares. Sin embargo, informes recientes han revelado que Lumma Stealer ha resurgido desde mayo, con un análisis de julio de Trend Micro que muestra que «el número de cuentas objetivo volvió a sus niveles habituales» entre junio y julio. Parte del atractivo de Lumma Stealer es que las suscripciones, que a menudo son mensuales, son económicas en relación con las ganancias potenciales que se pueden obtener.
«Disponible en foros de la dark web por tan solo $250, este sofisticado ladrón de información apunta específicamente a lo que más interesa a los cibercriminales: billeteras de criptomonedas, credenciales almacenadas en el navegador y sistemas de autenticación de dos factores»
, afirmó Nathaniel Jones, VP de Seguridad y Estrategia de IA en Darktrace.
Impacto y consecuencias del malware
Jones comentó a Decrypt que la escala de las explotaciones de Lumma Stealer ha sido «alarmante», con pérdidas estimadas de $36.5 millones en 2023, así como 400,000 dispositivos Windows infectados en un período de dos meses.
«Pero la verdadera preocupación no son solo los números, sino la estrategia de monetización en múltiples capas»
, añadió.
«Lumma no solo roba datos, sino que cosecha sistemáticamente historiales de navegación, información del sistema e incluso archivos de configuración de AnyDesk antes de exfiltrar todo a centros de comando controlados por Rusia»
.
Redes de distribución y el efecto cascada
Aumentando la amenaza de Lumma Stealer está el hecho de que los datos robados a menudo se alimentan directamente a «equipos trafer», que se especializan en el robo y reventa de credenciales.
«Esto crea un devastador efecto cascada donde una sola infección puede llevar al secuestro de cuentas bancarias, robo de criptomonedas y fraude de identidad que persiste mucho después de la violación inicial»
, agregó Jones. Mientras Darktrace sugirió un origen o centro ruso para las explotaciones relacionadas con Lumma, DNSFilter señaló que los actores maliciosos que utilizan el servicio de malware podrían estar operando desde múltiples territorios.
«Es común que tales actividades maliciosas involucren a individuos o grupos de múltiples países»
, dijo Pruitt, añadiendo que esto es especialmente prevalente «con el uso de proveedores de alojamiento internacionales y plataformas de distribución de malware».
