Lumma Stealer riparte dopo il maxi-blitz internazionale: l'infostealer è ancora il più pericoloso

Lumma Stealer riparte dopo il maxi-blitz internazionale: l'infostealer è ancora il più pericoloso

Dopo il sequestro di 2.300 domini e parte dell’infrastruttura, il malware Lumma Stealer torna operativo sfruttando nuove strategie di diffusione e servizi cloud russi, confermando la difficoltà di debellare le minacce cyber più lucrose.

di pubblicata il , alle 13:01 nel canale Sicurezza
 

Lo scorso mese di maggio, un'operazione globale coordinata da forze dell’ordine internazionali tra cui l'Europol e l'FBI e con la collaborazione di Microsoft e altri partner privati, ha portato al sequestro di 2.300 domini associati all’infrastruttura del Lumma Stealer. Questo malware-as-a-service (MaaS) era già da tempo considerato il più diffuso e pericoloso sul mercato, in grado di sottrarre credenziali, dati bancari, password e informazioni su wallet di criptovalute da oltre 394.000 dispositivi compromessi tra metà marzo e metà maggio 2025. L’azione non ha però coinvolto arresti o incriminazioni rilevanti, puntando piuttosto all’interruzione tecnica delle comunicazioni tra server e malware.

L’interruzione delle comunicazioni e il sequestro dei marketplace su cui venivano distribuite le varianti di Lumma hanno provocato una battuta d’arresto purtroppo solo temporanea all’interno dell’ecosistema cybercriminale. I gestori della piattaforma, subito dopo l’operazione delle autorità, hanno confermato la perdita temporanea dell’accesso ai server ma hanno assicurato che il server centrale, pur essendo stato cancellato a distanza, non era fisicamente sotto sequestro grazie alla sua collocazione giurisdizionale favorevole. In pochi giorni sono state avviate le procedure di ripristino dell’intera architettura di comando e controllo. La ripresa è stata sostenuta dalla volontà di mantenere la fiducia all’interno delle community criminali, confermata dalla presenza attiva su forum come XSS e dalla pubblicazione di dettagli tecnici sulle azioni di ripristino.


Il numero di bersagli di Lumma Stealer, in crescita ai livelli pre-blitz. Fonte: Trend Micro

Secondo gli analisti di Trend Micro e i dati di telemetria raccolti dalle principali società di sicurezza informatica, l’infrastruttura di Lumma è quasi tornata ai livelli di attività precedenti al blitz di maggio. La rapida ricostruzione degli asset tecnologici, insieme all’adozione di nuove strategie di evasione e mascheramento del traffico malevolo, ha permesso agli operatori di restare competitivi nei circuiti del cybercrimine. In particolare, la tradizionale infrastruttura cloud utilizzata per nascondere le tracce del malware su internet ha visto uno shift da fornitori globali come Cloudflare al cloud provider russo Selectel, più difficile da aggredire per le forze dell’ordine internazionali.

Il ritorno di Lumma è accompagnato da un rafforzamento delle sue tattiche di diffusione, che dimostrano la natura estremamente multicanale e adattabile del MaaS. Trend Micro ha individuato quattro principali vettori attualmente sfruttati per le nuove infezioni:

  • Falsi crack e keygen: tramite campagne di malvertising e la manipolazione dei risultati sui motori di ricerca, vengono promossi programmi contraffatti. I siti ingannevoli impiegano sistemi di fingerprinting per classificare le vittime e, tramite Traffic Detection Systems (TDS), servono il downloader di Lumma in modo mirato.
  • ClickFix (fake CAPTCHA): siti compromessi mostrano pagine CAPTCHA false che spingono l’utente a eseguire comandi PowerShell, caricando Lumma direttamente in memoria e aggirando le tradizionali difese basate su file.
  • Abuso di GitHub: la piattaforma è sfruttata dagli attaccanti per creare repository tematici, spesso generati con IA, che pubblicizzano presunti cheat per videogiochi. All’interno si trovano eseguibili malevoli o archivi ZIP contenenti il payload, come “TempSpoofer.exe”.
  • Promozioni su YouTube e Facebook: sono sempre più frequenti video e post che promettono software crackati. I link rimandano a servizi esterni, spesso basati su sites.google.com per aumentare la credibilità e aggirare i controlli, e ospitano i dropper di Lumma.

La ripresa in grande stile delle operazioni di Lumma Stealer evidenzia come le operazioni delle autorità, se non accompagnate da arresti e incriminazioni, risultino solo un ostacolo temporaneo per le organizzazioni cybercriminali più evolute. La redditività del modello MaaS garantisce risorse sufficienti tanto per il ripristino rapido dell’infrastruttura quanto per la copertura di eventuali danni reputazionali presso la clientela criminale. Lumma Stealer si pone dunque come caso emblematico dell’attuale difficoltà nel neutralizzare minacce digitali globali tramite la sola interruzione tecnica delle infrastrutture.

I migliori sconti su Amazon oggi
-30%

XIAOMI TV F 65, 65 pollici (165 cm),4K UHD,Smart TV, Fire TV,Triple Tuner DVB-C/S/S2/T/T2, HDR10,MEMC, Modalità Game Boost 120Hz, Controllo Vocale Alexa, 2GB+32GB, Compatibile con AirPlay

569.00 399.00 Compra ora
-27%

origimagic C4 Mini PC,con Ryzen 5 3550H Processor(fino a 3,7GHz) Light Gaming PC,16GB RAM,512GB SSD,Supporto Triple Display,USB3.2/Doppia Ethernet/Wi-Fi5/BT 5.0,Mini Desktop per Ufficio Domestico

219.00 160.54 Compra ora
-28%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.08 Compra ora
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^