Il ritorno inarrestabile di Lumma Stealer: come un’idra digitale beffa le forze dell’ordine

Doveva essere una vittoria. Nel maggio dell’anno scorso, una vasta operazione internazionale smantellò l’enorme infrastruttura di Lumma Stealer, un malware che aveva sottratto silenziosamente credenziali da centinaia di migliaia di computer. Per un momento, il mondo del cybercrime si fermò: uno dei suoi strumenti più prolifici era stato azzoppato. Ma a meno di un anno di distanza, Lumma è tornato, più sfuggente ed efficace che mai, facendo leva su tattiche di social engineering in cui stanno cadendo anche i più prudenti.

Un’idra dalle molte teste

Comparso per la prima volta sui forum in lingua russa nel 2022, Lumma Stealer è diventato rapidamente uno dei preferiti dai criminali informatici. Il suo modello malware-as-a-service basato sul cloud offriva tutto ciò che un aspirante hacker potesse desiderare: siti-esca che promettevano software craccato gratuito, una solida rete di comando e controllo e perfino assistenza clienti. Al prezzo premium di 2.500 dollari, i criminali potevano accedere a una piattaforma di furto di informazioni che le autorità definiscono oggi lo “strumento di riferimento” per gruppi organizzati come Scattered Spider.

Il takedown del 2023, che ha portato al sequestro di migliaia di domini e marketplace criminali, è stato celebrato come un successo. Ma abbattere un’idra digitale non è mai semplice. Gli operatori di Lumma hanno ricostruito la loro infrastruttura nel giro di pochi mesi e, secondo i ricercatori di Bitdefender, il malware è ora “tornato su larga scala”. La lezione: nel cybercrime, l’interruzione è temporanea finché non vengono catturate le teste dietro l’operazione.

ClickFix: l’esca che funziona

La rinascita di Lumma è alimentata da una nuova forma di inganno. Entra in scena “ClickFix”, un’esca di social engineering che si maschera da semplice CAPTCHA. Invece di spuntare una casella o selezionare immagini, alle vittime viene detto di copiare e incollare un blocco di testo - comandi malevoli - direttamente nel terminale di Windows. Bastano pochi secondi, ma il risultato è devastante: viene installato un malware loader, che poi scarica Lumma Stealer, offrendo ai criminali accesso immediato a credenziali sottratte e file sensibili.

Questo metodo è così efficace perché sfrutta la fiducia e la routine umane. Gli utenti, abituati a seguire le istruzioni a schermo, diventano inconsapevolmente complici della propria compromissione. Con l’infrastruttura di Lumma ormai ricostruita e le sue esche più persuasive che mai, la portata del malware è di nuovo globale - e in crescita.

La corsa agli armamenti senza tregua

La storia di Lumma Stealer è un monito nel gioco del gatto col topo del cybercrime. I takedown fanno notizia, ma finché esisteranno profitto e anonimato, le menti dietro questi schemi si adatteranno. Per utenti comuni e organizzazioni, la vigilanza è l’unica difesa. La prossima volta che un CAPTCHA chiede più di un semplice clic, pensaci due volte: le trappole di Lumma stanno diventando sempre più intelligenti.

WIKICROOK

• Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
• Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
• Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
• Social engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
• Loader malware: Il malware loader è un software malevolo che installa altri malware su un sistema, consentendo agli attaccanti di lanciare attacchi informatici multi-fase o in evoluzione.