Netcrook Logo
👤 TRUSTBREAKER
🗓️ 08 Apr 2026  

Dalle ceneri di Lumma: Remus Infostealer scatena furti di credenziali più intelligenti e più furtivi

Un nuovo malware astuto eredita i trucchi di Lumma - poi li potenzia per l’era moderna del cybercrimine.

Proprio quando i difensori pensavano che il famigerato Lumma Stealer fosse stato ricacciato nell’ombra, è emerso un nuovo spettro - Remus Infostealer. Questo malware fresco di comparsa, individuato per la prima volta all’inizio del 2026, non è un semplice imitatore. È un’evoluzione calcolata, che fonde le collaudate tattiche di furto credenziali di Lumma con un’infrastruttura inventiva e difficile da estirpare e con formidabili misure anti-analisi. Il risultato? Una minaccia che sta già beffando le difese tradizionali e rimettendo nel mirino, ancora una volta, credenziali sensibili.

Fatti rapidi

  • Remus è un information stealer a 64 bit, successore del famigerato Lumma Stealer dopo le operazioni di contrasto delle forze dell’ordine.
  • Prende di mira password dei browser, cookie, dati di compilazione automatica e wallet di criptovalute con tecniche di estrazione sofisticate.
  • Remus impiega smart contract di Ethereum per un command-and-control (C2) resiliente, rendendo i takedown quasi impossibili.
  • Evasione avanzata: Remus rileva sandbox, strumenti di sicurezza e ambienti di virtualizzazione, uscendo prima che l’analisi possa iniziare.
  • Il suo codebase e rari trucchi di decrittazione rispecchiano da vicino Lumma, ma Remus introduce un’infrastruttura più intelligente e una logica anti-analisi più evoluta.

Il nuovo volto del furto di credenziali

Ai reverse engineer è bastato poco per collegare Remus al suo predecessore. Il DNA del malware è inconfondibile: sia Remus sia Lumma condividono peculiarità di codice uniche, come la cifratura delle stringhe basata sullo stack, l’offuscamento in stile MBA e un raro approccio per aggirare l’Application-Bound Encryption (ABE) nei browser Chromium. In breve, Remus non si limita a prendere in prestito da Lumma - è costruito direttamente sulla sua eredità.

Dove Remus innova davvero, però, è nell’infrastruttura e nella furtività. Le varianti precedenti di Lumma si affidavano a indirizzi C2 “dead drop” nascosti in profili Steam o canali Telegram. Remus sostituisce tutto questo con “EtherHiding” - incorporando istruzioni C2 in smart contract immutabili su Ethereum. Ciò rende il suo backend praticamente invulnerabile ai tentativi di smantellamento, poiché i dati degli smart contract sono decentralizzati e permanenti.

Il malware rafforza anche le proprie difese contro l’analisi. Calcola hash personalizzati dei moduli caricati, terminando all’istante se rileva DLL popolari di sandbox o di sicurezza. Ulteriori trucchi, come la ricerca di archivi di Outlook rivelatori o l’interrogazione delle caratteristiche della CPU per individuare segnali di virtualizzazione, aiutano Remus a scivolare oltre le sandbox automatizzate che un tempo intercettavano Lumma. Persino i suoi aggiornamenti tecnici sono furtivi: Remus gira nativamente come payload a 64 bit, aggirando i vecchi strumenti di rilevamento costruiti per codice a 32 bit.

La funzionalità più pericolosa di Remus potrebbe essere il suo bypass dell’ABE. Iniettando shellcode direttamente nella memoria del browser, può estrarre le master key cifrate senza allertare gli strumenti di monitoraggio della sicurezza - una tecnica vista in precedenza solo nelle build più avanzate di Lumma. Le strategie di fallback del malware, inclusa l’impersonificazione del token SYSTEM, garantiscono che possa comunque rubare credenziali anche se il primo metodo fallisce.

Cosa dovrebbero sapere i difensori

Per i team di sicurezza, l’ascesa di Remus segnala una nuova era di sofisticazione degli infostealer. Opzioni pratiche di rilevamento - come il monitoraggio di traffico Ethereum RPC “eth_call” insolito o il tracciamento di un uso sospetto di CryptUnprotectMemory - possono offrire qualche speranza. Ma, viste le radici profonde di Remus in Lumma e la sua evoluzione aggressiva, le organizzazioni dovrebbero agire subito: aggiornare le regole di detection, rafforzare il sandboxing e prepararsi a uno stealer determinato a restare sempre un passo avanti.

Nella guerra in corso per le credenziali digitali, Remus è un gelido promemoria del fatto che l’innovazione dei cybercriminali non dorme mai - e nemmeno i difensori possono permetterselo.

WIKICROOK

  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili - come password, carte di credito o documenti - da computer infetti senza che l’utente se ne accorga.
  • Command: Un command è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • Application: Un’application è un software progettato per compiti specifici. In cybersecurity, mettere in sicurezza le applicazioni è fondamentale per prevenire attacchi che sfruttano vulnerabilità del software.
  • Shellcode: Lo shellcode è un piccolo programma iniettato dagli attaccanti per eseguire comandi o scaricare altro malware, spesso usato per sfruttare vulnerabilità nei sistemi.
  • Sandbox: Una sandbox è un ambiente sicuro e isolato in cui gli esperti analizzano in sicurezza file o programmi sospetti senza mettere in pericolo sistemi o dati reali.
Remus Infostealer Credential Theft Cybersecurity
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news