Lo scorso maggio, le forze dell’ordine di tutto il mondo hanno ottenuto un’importante vittoria quando hanno distrutto l’infrastruttura di Luma, un infostellar che ha infettato quasi 395.000 computer Windows in soli due mesi di operazioni internazionali. Mercoledì i ricercatori hanno affermato che Lumma è ancora una volta “tornato all’offensiva” con attacchi difficili da rilevare che rubano credenziali e file sensibili.
Lumma, noto anche come Lumma Stealer, è apparso per la prima volta nei forum sulla criminalità informatica di lingua russa nel 2022. Il suo modello malware-as-a-service basato su cloud forniva una vasta infrastruttura di domini per ospitare siti avidi che offrivano software crackato gratuito, giochi e film piratati, nonché un’impresa di furto di informazioni che richiede minacce e controllo per gestire i propri canali e tutto il resto. Nel giro di un anno, Lumma veniva venduto fino a $ 2.500 per le versioni premium. Nella primavera del 2024, l’FBI contava più di 21.000 inserzioni nei forum criminali. L’anno scorso, Microsoft ha affermato che Lumma è diventato lo “strumento di riferimento” per diversi gruppi criminali, tra cui Scattered Spiders, uno dei gruppi più prolifici.
I takedown sono difficili
L’FBI e una coalizione internazionale di suoi alleati sono intervenuti all’inizio dello scorso anno. A maggio hanno affermato di aver sequestrato 2.300 domini, infrastrutture di comando e controllo e mercati criminali che hanno consentito a InfoStellar di prosperare. Recentemente, tuttavia, il malware è tornato alla ribalta, permettendogli di infettare nuovamente un numero significativo di macchine.
I ricercatori della società di sicurezza Bitdefender hanno “restituito le dimensioni di Lummastiller, nonostante un importante abbattimento da parte delle forze dell’ordine nel 2025 che ha interrotto migliaia dei suoi domini di comando e controllo”. ha scritto. “L’operazione ha ricostruito rapidamente la sua infrastruttura e si sta espandendo a livello globale.”
Come già accaduto con Luma, l’ultima ondata si basa fortemente sui “clickfixes”, un’esca di ingegneria sociale che si sta rivelando efficace in modo allarmante nell’infettare gli utenti finali con le loro stesse macchine. In genere, tale esca si presenta sotto forma di falsi captcha, invece di richiedere agli utenti di fare clic su una casella o identificare oggetti o personaggi in un’immagine casuale, istruendoli a copiare e incollare il testo in un’interfaccia, un processo che richiede solo pochi secondi. Il testo si presenta sotto forma di comandi dannosi forniti da falsi captcha. L’interfaccia è Terminale Windows. Gli obiettivi che si conformano installano quindi il malware del caricatore, che a sua volta installa Luma.
