Bitdefender ha pubblicato una ricerca che dimostra che LummaStealer, uno dei malware più prolifici al mondo nel furto di informazioni, è tornato in auge dopo essere stato smantellato dalle forze dell’ordine meno di un anno fa.
LummaStealer si configura come un info-stealer estremamente scalabile. Attivo dalla fine del 2022, il malware viene distribuito attraverso un consolidato modello Malware-as-a-Service (MaaS).
La minaccia si è rapidamente evoluta fino a diventare uno degli infostealer più diffusi al mondo, supportato da un vasto ecosistema di affiliati e da un’infrastruttura di distribuzione in costante adattamento.
Nonostante un’operazione di smantellamento nel 2025, che aveva portato alla disattivazione di migliaia di domini C2, la rete LummaStealer è riuscita a ripristinare la propria infrastruttura, riprendendo la distribuzione su scala globale.
Bitdefender ha osservato che LummaStealer si diffonde principalmente attraverso campagne di social engineering, CAPTCHA fasulli e download di contenuti multimediali e videogiochi contraffatti, utilizzando CastleLoader (un loader di malware difficile da rilevare) per distribuire payload nella memoria ed eludere il rilevamento.
LummaStealer prende di mira i sistemi Windows e può raccogliere un’ampia gamma di dati sensibili, tra cui credenziali del browser, cookie di sessione, portafogli di criptovalute e persino token di autenticazione a due fattori.
Data la costante evoluzione di LummaStealer, i team preposti alla difesa devono partire dal presupposto che le fasi di accesso iniziale imiteranno sempre più quelle di utenti legittimi. Diventa quindi cruciale analizzare le tattiche di social engineering, le reti di distribuzione e gli effetti post-infezione per identificare e neutralizzare questo malware e minacce analoghe.
