Microsoft, in partnership con altri player del settore e con le forze dell’ordine internazionali, ha recentemente favorito un’interruzione dell’infrastruttura di Lumma Stealer, un infostealer molto popolare, utilizzato in campagne condotte da cybercriminali più sofisticati rispetto a quelli che impiegano stealer di base. Come malware-as-a-service, Lumma Stealer può essere acquistato e utilizzato da numerosi attori di minacce in altrettante differenti campagne ed è attualmente il MaaS più popolare in base ai dati di Proofpoint.
La sua rimozione avrà un impatto positivo sul panorama delle minacce. Sebbene sia vero che i cybercriminali che lo utilizzano potrebbero passare a un payload diverso, le interruzioni di questa infrastruttura possono comportare comunque ulteriori vantaggi. Ad esempio, gli attori potrebbero essere diffidenti nell’acquistarlo in futuro o nel lavorare con i criminali associati a questo malware. Ed è possibile che un altro codice “sostituto” non abbia le stesse caratteristiche, funzionalità o facilità d’uso. Abbiamo già visto in precedenza che le interruzioni di un malware hanno un impatto significativo sul panorama complessivo delle minacce. Ad esempio, dopo il blocco di Operation Endgame dello scorso anno, il malware di accesso iniziale associato, così come gli attori che lo utilizzavano, sono in gran parte scomparsi dallo scenario delle minacce via email.
Lumma Stealer è un MaaS il cui acquisto viene promosso da parte di altri malintenzionati. È in circolazione dal 2022, anche se ha incrementato la sua popolarità lo scorso anno ed è utilizzato da più attori. Proofpoint ha osservato la distribuzione di Lumma Stealer tramite numerose catene di attacco, tra cui: email con URL o allegati contenenti URL che conducevano a Lumma Stealer; siti web compromessi che contengono web inject (ad esempio con temi legati a “falsi aggiornamenti”) che portano all’installazione di Lumma Stealer; crack fittizi di videogiochi su YouTube con URL nei commenti che conducono a Lumma Stealer e SEO poisoning pericoloso per far apparire i siti web dannosi che lo distribuiscono tra i primi risultati di ricerca web. In particolare, molte delle campagne Lumma Stealer che osserviamo sfruttano ClickFix, un’interessante tecnica di ingegneria sociale che tenta di attirare persone ignare a copiare ed eseguire PowerShell per scaricare malware.”
di Selena Larson, Senior Threat Intelligence Analyst di Proofpoint
