Europa Press/Contacto/Thomas Fuller - Arquivo
MADRID 12 fev. (Portaltic/EP) - A operação internacional que conseguiu desmantelar a infraestrutura do LummaStealer não foi suficiente para deter um dos malwares mais ativos do mundo, que ressurgiu em grande escala com novas técnicas de distribuição baseadas em engenharia social e apoiadas por infraestruturas como o CastleLoader.
Ativo desde 2022, o LummaStealer é um malware que permite aos cibercriminosos roubar senhas, dados bancários, cartões de crédito e carteiras de criptomoedas, e que é utilizado como um malware as a service (MaaS), sendo vendido através de fóruns clandestinos.
Durante todos os seus anos ativos, este malware foi responsável por ataques a nível global, afetando “centenas de milhares” de computadores Windows, incluindo na Europa e em Espanha, com consequências como a interrupção de serviços, extorsões e esvaziamento de contas.
Assim, consolidou-se como um dos ladrões de informação mais utilizados, em parte, apoiado por um grande ecossistema de afiliados e uma infraestrutura de distribuição em constante adaptação. No entanto, em maio do ano passado, uma ação policial apoiada por autoridades como a Europol, parceiros da indústria e a Microsoft, conseguiu desmantelar a espinha dorsal da infraestrutura do LummaStealer, suspendendo e bloqueando o seu funcionamento.
Como resultado, o Departamento de Justiça dos Estados Unidos também apreendeu a estrutura do comando central do Lumma, interrompendo assim sua atividade nos mercados em que o malware era vendido a outros cibercriminosos. Da mesma forma, o Centro Europeu de Cibercrime (EC3) e o Centro de Controle de Cibercrime do Japão (JC3) também suspenderam a infraestrutura local do Lumma.
No entanto, é importante destacar que, após os esforços para interromper suas atividades, a operação não foi completamente desmantelada, pois as operações do LummaStealer migraram rapidamente para novos provedores de hospedagem, refletindo a resiliência desse grupo de operações. O RETORNO DO LUMMASTEALER
Agora, apesar desta operação policial, a atividade do grupo LummaStealer, considerado um dos malwares mais prolíficos do mundo, voltou a ocorrer em grande escala, reconstruindo sua infraestrutura e adaptando suas técnicas de distribuição para retomar sua propagação global.
Isso foi relatado pela empresa de cibersegurança Bitdefender em uma nova investigação, na qual detalharam que, conforme puderam verificar, observaram um aumento considerável na atividade do LummaStealer e, desta vez, o malware é distribuído principalmente por meio de campanhas de engenharia social e não por meio de exploits.
Especificamente, os especialistas identificaram que, com esse retorno, os agentes maliciosos optaram por recorrer a técnicas como o uso de CAPTCHAs falsos — conhecidos como “ClickFix” —, bem como downloads fraudulentos de jogos e conteúdos multimídia, como filmes recém-lançados, abusando de plataformas confiáveis. Dessa forma, o modus operandi das campanhas de malware baseia-se em fazer com que os usuários executem arquivos infectados sem saber. CASTLELOADER NO NÚCLEO
Além de tudo isso, a Bitdefender também apontou que, como eixo de muitas das novas campanhas analisadas, eles encontraram o uso do CastleLoader, um sofisticado carregador de malware que é executado em camadas e usa “execução em memória e forte ofuscação para entregar a carga maliciosa e evitar a detecção”.
Dessa forma, os agentes maliciosos utilizam o CastleLoader como mecanismo central de entrega para os ataques, uma vez que permite que o malware se propague através de cadeias de distribuição. Da mesma forma, os especialistas em cibersegurança também descobriram que existe “uma certa sobreposição” de infraestrutura entre o CastleLoader e o LummaStealer. Isso sugere que as equipes de cibercriminosos que os desenvolvem estão trabalhando de forma coordenada ou, pelo menos, que “compartilham fornecedores de serviços”.
Portanto, a Bitdefender alertou para este novo aumento do LummaStealer, que pode ter um impacto significativo, como já demonstrou nos seus anos de atividade, uma vez que permite o roubo de credenciais e pode resultar na tomada de controle de contas, fraude financeira, roubo de identidade e extorsão.
“Os usuários devem evitar baixar software, jogos ou conteúdo multimídia de fontes não confiáveis ou não oficiais, especialmente se o conteúdo for anunciado como pirata, gratuito ou exclusivo”, enfatizou a empresa, ao mesmo tempo em que alertou que qualquer site que indique aos usuários a execução manual de comandos, especialmente PowerShell e utilitários de linha de comando, “deve ser considerado malicioso por padrão”.
Esta notícia foi traduzida por um tradutor automático