Torniamo a parlare di singoli malware e soprattutto di LummaStealer, un virus utilizzato da tantissimi gruppi hacker in quanto i suoi sviluppatori lo hanno sfruttato usando il modello Malware-as-a-Service, ovvero vendendolo a chi ne necessita per sferrare le sue offensive. Più volte questo malware è stato dichiarato smantellato a livello internazionale ma regolarmente è tornato a farsi vedere ed a minacciare aziende e cittadini.
Come sappiamo, una delle tecniche note di LummaStealer è quella, molto recente e molto pericolosa, chiamata ClickFix, che sfrutta falsi Captcha o falsi avvisi di aggiornamento dei sistemi per far sì che venga installato il malware di propria sponte. Sembra che il gruppo che ha creato questa minaccia si chiami Storm-2477 e che abbia contatti con la Russia, mentre è certo che in Italia le truffe mediante questo malware siano aumentate quasi del 400% nel primo semestre dello scorso anno. Spesso questo malware era quello utilizzato anche nelle truffe segnalate da CERT-AgID e veicolate tramite email malevole o caselle PEC già infettate, sfruttando anche domini .it per cercare di fare breccia in Italia.
L’ultimo aggiornamento sulla rete di Lumma era datata maggio 2025, quando in un’operazione alla quale aveva partecipato anche Europol sembrava fosse stata smantellata, ma come spesso accade si è verificata una sua “rinascita”, oltretutto con dei grandi miglioramenti a livello di efficacia. Senza scendere nei dettagli, il nuovo sistema di contagio effettua maggiori controlli all’interno dei sistemi ospite, per verificare la presenza di servizi di protezione, poi capisce se non si trova in ambienti di analisi e comincia, in caso positivo, a connettersi al malware LummaStealer vero e proprio per installarlo in modo efficace e verificabile con più difficoltà rispetto al passato. Una volta dentro, Lumma effettua pratiche di offuscamento che lo tolgono dai radar dei sistemi di analisi dandosi il modo di iniettare codice malevolo in modo indisturbato.
Una volta effettuata questa attività ed essersi garantito una presenza stabile nella memoria, inizia ad estrarre dati interrogando i database dal browser e rubando cookie di sessione, autoriempimenti dei form e credenziali, con particolare attenzione a quelli per accedere agli wallet di crypto. Una volta estratti tutti questi dati, essi vengono inviati a pacchetti su server C2 degli attaccanti, anche in questo caso sfruttando sistemi di comunicazione che restano sotto ai radar, come ad esempio sistemi cloud legittimi. L’ultima metamorfosi di LummaStealer riguarda proprio i server di comando, che sono stati modificati proprio perché l’ultima volta sono stati il punto debole che ha portato allo smantellamento. Adesso la loro struttura è infatti decentralizzata e sfrutta domini che vengono mantenuti validi solo per poco tempo, cosa che rende difficile l’identificazione. Per difendersi è quindi necessario monitorare attentamente i tentativi di inezione di codice, anche minimi, così come eventuale traffico anomalo in uscita. Un’altra soluzione potenzialmente efficace per la difesa è un sistema EDR di livello, magari basato su AI, oltre alla divisione corretta dei privilegi di sistema, per evitare quindi che essi vengano scalati o raggiunti con facilità, bypassando qualsiasi autorizzazione. Come abbiamo visto, purtroppo anche le buone notizie nel mondo della cybersecurity non durano in eterno, e le minacce purtroppo possono ripresentarsi. L’importante è seguire i consigli degli esperti ed alzare la guardia laddove si ritiene di essere più vulnerabili.
Fonte: 1
