Lumma Stealer ritorna dopo l'intervento delle autorità
Topic
Approfondimenti
Trending
tutti

Lumma Stealer ritorna dopo l'intervento delle autorità

Nonostante l'intervento di maggio delle forze dell'ordine, i cybercriminali hanno già ripristinato l'infrastruttura usata per distribuire Lumma Stealer.
Lumma Stealer ritorna dopo l'intervento delle autorità
Sicurezza
Nonostante l'intervento di maggio delle forze dell'ordine, i cybercriminali hanno già ripristinato l'infrastruttura usata per distribuire Lumma Stealer.
Gemini

In seguito all’intervento delle autorità con la collaborazione di varie aziende era stata smantellata l’infrastruttura di Lumma Stealer. Come già accaduto in passato con altri MaaS (Malware-as-a-Service), i cybercriminali hanno già ripreso le attività e colpito diversi bersagli.

Lumma Stealer è resuscitato

Le forze dell’ordine avevano sequestrato oltre 2.300 domini usati per distribuire Lumma Stealer. Facevano parte dell’infrastruttura C&C (command and control) e includevano anche i domini usati per i pannelli di login. Sono stati inoltre chiusi i canali usati per la vendita dell’infostealer e interrotte le comunicazioni tra i server e i dispositivi infettati.

Pochi giorni dopo, uno dei principali sviluppatori di Lumma Stealer ha pubblicato un post su un forum underground per confermare il sequestro dei domini. Non sono stati invece sequestrati i server, in quanto fuori dalla giurisdizione delle autorità. Le forze dell’ordine hanno però sfruttato una vulnerabilità in IDRAC (Integrated Dell Remote Access Controller) per accedere da remoto e formattare tutti i dischi.

I cybercriminali hanno successivamente ripreso il controllo dei server, disattivato IDRAC e ripristinato l’infrastruttura. Tra inizio giugno e metà luglio sono stati colpiti numerosi account. I dati di Trend Micro confermano che il livello di attività è quasi simile a quello precedente.

I cybercriminali hanno ovviamente apportato modifiche per evitare un nuovo intervento delle forze dell’ordine. Ora solo un piccolo numero di domini utilizza Cloudflare (che aveva collaborato allo smantellamento di maggio). La maggioranza di essi usa i servizi di provider russi, tra cui Selectel (che quasi certamente non aiuterà le autorità occidentali).

Sono stati anche aggiornati i canali di distribuzione del malware. Attraverso malvertising e manipolazioni SEO vengono pubblicizzati software infetto che sembra legittimo e keygen o crack. Quando eseguiti scaricano Lumma Stealer sul computer. Un altro metodo è ClickFix. L’utente visita un sito e vede un CAPTCHA. Per risolverlo deve eseguire comandi PowerShell che scaricano il malware.

Un’altra tecnica prevede la creazione di repository su GitHub con presunti cheat per giochi. Lumma Stealer è nascosto in eseguibili o archivi ZIP. Infine, il malware viene distribuiti tramite link presenti nelle descrizioni dei video su YouTube o nei post su Facebook.

Fonte: Trend Micro

Pubblicato il 24 lug 2025

Link copiato negli appunti

Ti potrebbe interessare

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno

Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno
Data breach per la francese Leroy Merlin

Data breach per la francese Leroy Merlin
VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)

VPN senza limiti con poco più di 1 €/mese: una promo imperdibile (-90%)
WormGPT e KawaiiGPT: LLM per cybercriminali

WormGPT e KawaiiGPT: LLM per cybercriminali
Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno

Con la Cyber Week di TotalAV hai VPN e antivirus a 19€ per un anno
Data breach per la francese Leroy Merlin

Data breach per la francese Leroy Merlin
Luca Colantuoni
Pubblicato il
24 lug 2025
Link copiato negli appunti