Lumma Stealer: una minaccia infostealer in rapida crescita

Samuele Zaniboni, Manager of Sales Engineering di ESET Italia -

ESET Research ha riportato una statistica allarmante: le rilevazioni di Lumma Stealer, un
infostealer che in passato era stato segnalato come una minaccia per i gamer, sono aumentate del
369% rispetto al primo semestre del 2024. Questo dato è preoccupante, poiché infostealer come

Lumma continuano a compromettere i sistemi di utenti e aziende, spesso senza che questi se ne
accorgano. Sebbene gli infostealer siano particolarmente insidiosi, non sono privi di vulnerabilità,
su cui le soluzioni di ESET possono fare leva a vantaggio della sicurezza.

La storia di Lumma
Conosciuto anche come LummaC2 Stealer, questo malware-as-a-service ha come obiettivo
principalmente i portafogli di criptovalute, le credenziali utente e le estensioni dei browser per
l’autenticazione a due fattori, ma tenta anche di sottrarre altri dati dai dispositivi compromessi.

Comparso per la prima volta nell’agosto 2022, Lumma Stealer è in vendita su forum di hacking e
Telegram, con prezzi che vanno da 250 a 20.000 dollari a seconda del livello, con il più alto che
offre l’accesso al codice sorgente, e permette quindi ai criminali di rivendere il malware.

Poiché Lumma è una soluzione malware pronta all'uso, è più facile da condividere anche con attori
delle minacce alle prime armi. La facilità d'uso e la vasta gamma di funzioni lo rendono una scelta
attraente per i potenziali attaccanti, ma il fatto che possa essere diffuso attraverso molteplici
vettori senza essere rilevato, lo rende ancora più pericoloso.

Cos’è il malware-as-a-service (MaaS)?
Simile alle moderne offerte software, il malware-as-a-service è un modello di business che fornisce
alle parti interessate soluzioni malware pronte all’uso e immediatamente implementabili.

Tipicamente offerto su forum di hacking sotterranei nel dark web, gli operatori MaaS mettono a
disposizione una varietà di malware, generalmente come acquisto una tantum o tramite
abbonamento. Questo facile accesso consente anche a chi non possiede competenze tecniche
avanzate di lanciare attacchi informatici, aumentando la diffusione di queste minacce.

Esplorare i vettori di attacco con la telemetria ESET
Mentre Lumma Stealer può diffondersi attraverso vari vettori di distribuzione, alcuni metodi sono
più sofisticati di altri. Una campagna particolarmente elaborata scoperta nell’ottobre 2024 ha
distribuito Lumma Stealer tramite siti CAPTCHA falsi, che, dopo una verifica riuscita, hanno
consegnato l’infostealer al dispositivo della vittima. Altri canali che favoriscono la diffusione di
Lumma Stealer includono versioni pirata di app popolari, sia open-source che a pagamento, come
ChatGPT o Vegas Pro. L’infostealer può anche diffondersi tramite email di phishing o messaggi su
Discord, aumentando la possibilità che arrivi anche nella casella di posta degli utenti più giovani.

Da sapere
I forum di discussione come Discord possono svolgere un ruolo importante nella diffusione di
software dannoso e truffe, perché fungono da punti di incontro digitali per le attività online,                                                                        creando opportunità di abuso. Inoltre, gli attori malevoli possono sfruttare i network di
distribuzione dei contenuti di queste piattaforme online/cloud per distribuire malware.

ESET ha anche rilevato una campagna in cui l’injector Win/Rozena.ADZ ha distribuito Lumma
Stealer tramite video compromessi su marketplace online e siti con contenuti per adulti. Allo
stesso modo, Lumma Stealer è stato rilevato all’interno di attivatori KMS utilizzati per l’abilitazione
di copie piratate di Windows.

Ultimo, ma non meno importante, nel giugno 2024, ESET Research ha segnalato che i player del
popolare gioco mobile Hamster Kombat erano nel mirino, con cryptors contenenti Lumma Stealer
nascosti in repository GitHub sotto forma di strumenti di automazione utili per il gioco.

Uno dei tanti infostealer in circolazione
La telemetria ESET per il secondo semestre del 2024 ha registrato il maggior numero di tentativi di
attacco di Lumma Stealer in Peru, Polonia, Spagna, Messico e Slovacchia. Tuttavia, Lumma non è
l’unico infostealer in circolazione e, in generale, i primi cinque paesi più colpiti dagli attacchi di
infostealer nel secondo semestre del 2024 sono stati Giappone, Spagna, Turchia, Polonia e Italia.

Tra gli altri infostealer rilevanti c’è Formbook, scoperto per la prima volta nel 2016 e diffuso
principalmente tramite email di phishing. Questo infostealer raccoglie dati dagli appunti, sequenze
di tasti, screenshot e dati memorizzati nei browser, utilizzando sofisticate tecniche di
offuscamento per impedire un’analisi più approfondita. Inoltre, è stato rilevato come parte di
campagne su larga scala di ModiLoader e AceCryptor in stati dell’Europa centrale e orientale come
Polonia, Romania, Repubblica Ceca e Croazia.

Spy another day
Gli infostealer sono particolarmente dannosi perché anche una breve compromissione può essere
disastrosa sia per gli individui che per le aziende. Una volta che un infostealer raccoglie dati
sufficienti per rubare le credenziali, i fondi o l’identità di una persona, questa può perdere denaro
(sia in crypto che in contante), l’accesso agli account personali e molto altro. Le aziende
compromesse possono subire gravi incidenti informatici, come infiltrazioni nella rete, violazioni dei
dati, estorsioni e attacchi ransomware.

Fortunatamente, esistono molte modalità per prevenire l’infiltrazione di infostealer e minacce
simili nei nostri dispositivi:

• Protezione degli endpoint: il modo più semplice per prevenire che la maggior parte dei malware
intacchi i sistemi è installare una soluzione di endpoint security con protezione in tempo reale.
ESET Endpoint Security o ESET Home Security forniscono questa protezione, grazie alla tecnologia
ESET LiveSense a più livelli che protegge senza compromettere le prestazioni del computer.

• Bloccare: un’altra misura efficace consiste nel bloccare i popup e gli annunci nei browser, che
talvolta possono portare al download di malware. Inoltre, è utile rafforzare le impostazioni di
sicurezza e privacy del browser, perché limitano la quantità di dati che possono fluire tra un sito
web/cookie e le attività in-browser/PC. In alternativa, è consigliato usare un browser sicuro (come
quello contenuto nei prodotti di security ESET) per un’esperienza di navigazione e banking più
sicura.

• Aggiornare: Le vulnerabilità conosciute sono ancora ampiamente sfruttate, perché i sistemi non
sempre vengono aggiornati, portando a violazioni dei dati ed esfiltrazioni di informazioni.

• Verificare: non cliccare mai su link casuali o aprire allegati sospetti, perché potrebbero
contenere malware. Allo stesso modo, è bene evitare di scaricare software piratato o
apparentemente gratuito e preferire l’uso di marketplace legittimi per prevenire attacchi
accidentali da infostealer.

Lumma è in agguato
Minacce come Lumma Stealer non fanno distinzione tra un bambino, un adulto o un’azienda; si
diffondono in vari modi e sottraggono ciò che possono per scopi dannosi. Sebbene aumentare la
consapevolezza sugli infostealer e sul loro funzionamento sia un ottimo primo passo per ridurre il
rischio di compromissioni dovute a errori umani, la crescente sofisticazione e la presenza di
infostealer online suggeriscono di colmare le eventuali lacune di sicurezza appena scoperte, prima
che vengano sfruttate da attori malintenzionati.

È quindi importante non trascurare la sicurezza dei dispositivi e fare attenzione ai rischi nel mondo
digitale, perché le minacce possono manifestarsi in modi imprevedibili.