Introduzione al Malware Lumma Stealer
Attori malintenzionati stanno utilizzando prompt di Captcha falsi per distribuire il malware Lumma Stealer senza file, secondo la ricerca della società di cybersecurity DNSFilter. Rilevato per la prima volta su un sito web bancario greco, il prompt richiede agli utenti Windows di copiarlo e incollarlo nella finestra di dialogo Esegui, e poi di premere Invio.
Statistiche e Impatto
DNSFilter riporta che i clienti della società hanno interagito con il falso Captcha 23 volte nel corso di tre giorni, e che il 17% delle persone che hanno incontrato il prompt ha completato i passaggi sullo schermo, portando al tentativo di consegna del malware.
Funzionamento di Lumma Stealer
Lumma Stealer è una forma di malware che cerca nel dispositivo infetto credenziali e altri dati sensibili. Mikey Pruitt, Global Partner Evangelist di DNSFilter, ha spiegato che:
“Lumma Stealer setaccia immediatamente il sistema per qualsiasi cosa possa monetizzare: password e cookie memorizzati nel browser, token 2FA salvati, dati del portafoglio di criptovalute, credenziali di accesso remoto e persino vault di gestori di password.”
Pruitt ha chiarito che gli attori malintenzionati utilizzano i dati rubati per vari scopi, che di solito si riducono a guadagni monetari, come il furto di identità e l’accesso a “conti online per furti finanziari o transazioni fraudolente,” oltre a ottenere accesso ai portafogli di criptovalute.
Malware-as-a-Service e Rischi Associati
Lumma Stealer è un esempio di Malware-as-a-Service (MaaS), che le aziende di sicurezza hanno riportato essere responsabile di un aumento degli attacchi malware negli ultimi anni. Secondo l’analista di malware di ESET Jakub Tomanek:
“Il loro obiettivo principale è mantenere il servizio operativo e redditizio, raccogliendo commissioni mensili dagli affiliati – gestendo di fatto Lumma Stealer come un’attività criminale informatica sostenibile.”
Poiché risparmia ai criminali informatici la necessità di sviluppare malware e qualsiasi infrastruttura sottostante, il MaaS come Lumma Stealer si è dimostrato ostinatamente popolare.
Sequestri e Ritorno del Malware
A maggio, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato cinque domini internet che gli attori malintenzionati stavano utilizzando per operare il malware Lumma Stealer, mentre Microsoft ha privatamente chiuso 2.300 domini simili. Tuttavia, i rapporti hanno rivelato che Lumma Stealer è riemerso da maggio, con un’analisi di luglio di Trend Micro che mostra che “il numero di conti mirati è tornato costantemente ai loro livelli abituali” tra giugno e luglio.
Costi e Guadagni
Parte dell’attrattiva di Lumma Stealer è che gli abbonamenti, che sono spesso mensili, sono economici rispetto ai potenziali guadagni da realizzare. Nathaniel Jones, VP di Sicurezza e Strategia AI di Darktrace, ha affermato:
“Disponibile su forum del dark web per appena $250, questo sofisticato ladro di informazioni mira specificamente a ciò che conta di più per i criminali informatici – portafogli di criptovalute, credenziali memorizzate nel browser e sistemi di autenticazione a due fattori.”
Jones ha dichiarato che la scala degli exploit di Lumma Stealer è stata “allarmante,” con il 2023 che ha registrato perdite stimate di $36,5 milioni, oltre a 400.000 dispositivi Windows infetti in due mesi.
Strategie di Monetizzazione e Implicazioni
“Ma la vera preoccupazione non sono solo i numeri – è la strategia di monetizzazione multilivello,” ha detto Jones. “Lumma non ruba solo dati, raccoglie sistematicamente cronologie del browser, informazioni di sistema e persino file di configurazione di AnyDesk prima di esfiltrare tutto verso centri di comando controllati dalla Russia.”
Aumentando la minaccia di Lumma Stealer c’è il fatto che i dati rubati vengono spesso alimentati direttamente in “team di traffico,” che specializzano il furto e la rivendita di credenziali. Questo crea un devastante effetto a cascata in cui un’unica infezione può portare a dirottamenti di conti bancari, furti di criptovalute e frodi identitarie che persistono a lungo dopo la violazione iniziale.
Origini e Operazioni Globali
Mentre Darktrace ha suggerito un’origine o un centro russo per gli exploit legati a Lumma, DNSFilter ha notato che gli attori malintenzionati che utilizzano il servizio malware potrebbero operare da più territori. Pruitt ha affermato:
“È comune che tali attività malevole coinvolgano individui o gruppi provenienti da più paesi, particolarmente prevalente con l’uso di fornitori di hosting internazionali e piattaforme di distribuzione di malware.”
