Guidata da Microsoft, l’operazione ha reso in gran parte inattiva l’infostealer colpendo i server C&C. ESET ha fornito analisi tecniche e i dati estratti.
ESET ha collaborato con Microsoft, BitSight, Lumen, Cloudflare, CleanDNS e GMO Registry a un’operazione internazionale volta a smantellare Lumma Stealer, un famigerato infostealer offerto in modalità Malware-as-a-Service. L’operazione ha preso di mira l’infrastruttura di Lumma Stealer e in particolare tutti i server C&C noti dell’ultimo anno. Rendendo in gran parte inattiva la botnet.
Jakub Tomanek, ricercatore ESET esperto di Lumma Stealer
I sistemi automatizzati di ESET hanno analizzato decine di migliaia di campioni di Lumma Stealer, estraendo elementi chiave come i server C&C e gli identificativi degli affiliati. Questo ci ha permesso di monitorare costantemente l’attività di Lumma Stealer, raggruppare gli affiliati, tenere traccia degli aggiornamenti del codice e molto altro. Le famiglie di infostealer come Lumma Stealer sono spesso solo l’anticamera di attacchi ben più gravi. Le credenziali sottratte sono merce preziosa nel cybercrime, venduta dai broker di accessi iniziali ad altri criminali informatici, inclusi affiliati a gruppi ransomware.
L’infostealer Lumma Stealer
Sono due anni che Lumma Stealer è tra gli infostealer più diffusi a livello globale, senza risparmiare alcuna area geografica.
I suoi sviluppatori hanno continuato ad aggiornare e mantenere attivamente il codice. Con modifiche che spaziano da semplici correzioni di bug a modifiche complete nella cifratura delle stringhe e nel protocollo di rete. Anche l’infrastruttura condivisa della botnet è stata di conseguenza gestita attivamente dagli operatori. Tra il 17 giugno 2024 e il 1° maggio 2025, ESET ha identificato 3.353 domini C&C unici, con una media di circa 74 nuovi domini alla settimana. Compresi aggiornamenti occasionali ai resolver basati su Telegram. Questa continua evoluzione dimostra la pericolosità della minaccia e l’importanza dell’intervento di smantellamento.
Lumma Stealer adotta un modello Malware-as-a-Service, in cui gli affiliati pagano un abbonamento mensile, suddiviso per livelli, per ricevere le versioni aggiornate del malware. Così come l’infrastruttura necessaria all’esfiltrazione dei dati. I prezzi vanno da 250 a 1000 dollari al mese, a seconda del livello di funzionalità. Gli operatori hanno inoltre creato un marketplace su Telegram, dotato di sistema di valutazione, per vendere i dati sottratti senza intermediari. I metodi di distribuzione più comuni includono campagne di phishing, software piratato e altri downloader malevoli. Lumma Stealer impiega poche ma efficaci tecniche anti-emulazione per rendere l’analisi del malware il più complessa possibile. Ostacolando le attività dei ricercatori.
La Digital Crimes Unit
La Digital Crimes Unit di Microsoft ha coordinato la rimozione, la sospensione, il sequestro e il blocco dei domini malevoli che costituivano la spina dorsale dell’infrastruttura di Lumma Stealer, grazie a un’ordinanza dello United States District Court for the Northern District of Georgia. In parallelo, lo United States Department of Justice ha sequestrato il pannello di controllo del malware. Colpendo direttamente il marketplace di Lumma Stealer e i suoi acquirenti. L’operazione è stata coordinata anche con l’Europol (European Cybercrime Centre – EC3) e con il Japan Cybercrime Control Center (JC3), che hanno facilitato il blocco delle infrastrutture locali.
