Dopo l’intervento delle forze dell’ordine sembrava arrivata la fine di Lumma Stealer. I cybercriminali hanno invece ricostruito l’infrastruttura in poche settimane. Nuovi attacchi che sfruttano uno degli infostealer più pericolosi in assoluto sono stati rilevati dagli esperti di Bitdefender.
ClickFix e CastleLoader
Lumma Stealer è apparso per la prima volta nel 2022. Viene offerto in abbonamento dagli sviluppatori russi secondo il modello MaaS (Malware-as-a-Service). È un potente infostealer per Windows che può rubare un numero impressionante di dati. Gli esperti di Bitdefender hanno rilevato un aumento degli attacchi tra dicembre 2025 e gennaio 2026. Il malware sfrutta due principali metodi di distribuzione.
Il primo è CastleLoader. La catena di infezione inizia con il download di software, giochi e film pirata da siti web o tramite Torrent. Questi contenuti sono disponibili come archivi auto-estraenti o installer NSIS. Quando l’ignara vittima avvia l’installazione vengono eseguiti vari comandi e script per portare all’esecuzione del loader in memoria. Al termine viene scaricato ed eseguito Lumma Stealer.
Il secondo metodo prevede l’uso dell’ingegneria sociale tramite il noto attacco ClickFix. Quando l’utente visita un sito fasullo vede una CAPTCHA. Per risolverlo deve copiare un comando PowerShell nella finestra Esegui di Windows. In realtà viene scaricato CastleLoader che a sua volta scarica Lumma Stealer.
L’infostealer ruba praticamente tutto ciò che è presente sul computer: password salvate nel browser, cookie, documenti, codici 2FA, chiavi dei wallet di criptovalute, numeri di telefoni, indirizzi email, numeri delle carte di credito, dati di VPN, client email e password manager, informazioni sul computer (sistema operativo, app installate e altre). Può anche catturare screenshot e intercettare il contenuto degli appunti (clipboard).
Le conseguenze per gli utenti sono drammatiche. Perdono il controllo degli account, denaro e dati. I cybercriminali sfruttano quindi queste informazioni per ulteriori attacchi, dalle truffe all’estorsione. I consigli per evitare rischi sembrano ovvi, ma pochi comprendono il pericolo.
Non deve essere scaricato nulla dai siti pirata o tramite Torrent, né eseguiti comandi per risolvere CAPTCHA o problemi software inesistenti. In caso di infezione è necessario cambiare subito tutte le password (se possibile) ed effettuare una reinstallazione completa del sistema operativo.
Ti potrebbe interessare
13 feb 2026