Por Simon Chandler
5 min lectura
Los ciberdelincuentes están utilizando prompts falsos de Captcha para distribuir el malware Lumma Stealer sin archivos, según una investigación de la empresa de ciberseguridad DNSFilter.
El prompt fue detectado por primera vez en un sitio web de un banco griego y solicita a los usuarios de Windows que lo copien y peguen en el cuadro de diálogo Ejecutar, para después presionar Enter.
DNSFilter reporta que los clientes de la empresa interactuaron con el Captcha falso 23 veces durante tres días, y que el 17% de las personas que encontraron el prompt completaron los pasos mostrados en pantalla, lo que resultó en el intento de entrega de malware.
Mikey Pruitt, Evangelista Global de Socios de DNSFilter, explicó que Lumma Stealer es una forma de malware que busca credenciales y otros datos sensibles en un dispositivo infectado.
"Lumma Stealer inmediatamente rastrea el sistema en busca de cualquier cosa que pueda monetizar: contraseñas y cookies almacenadas en navegadores, tokens de autenticación de dos factores guardados, datos de billeteras de criptomonedas, credenciales de acceso remoto e incluso bóvedas de gestores de contraseñas", le dijo a Decrypt.
Pruitt aclaró que los ciberdelincuentes utilizan los datos robados para diversos propósitos que generalmente se reducen a ganancias monetarias, como el robo de identidad y el acceso a "cuentas en línea para robo financiero o transacciones fraudulentas", así como obtener acceso a billeteras de criptomonedas.
Lumma Stealer tiene un amplio alcance, según Pruitt, y puede encontrarse en una gran variedad de sitios web.
"Si bien no podemos hablar sobre cuánto se pudo haber perdido a través de esta vía, esta amenaza puede existir en sitios no maliciosos", explicó. "Esto lo hace increíblemente peligroso e importante estar consciente cuando las cosas parecen sospechosas".
Lumma Stealer no solo es malware, sino un ejemplo de Malware como Servicio (MaaS), que las empresas de seguridad han reportado es responsable de un aumento en los ataques de malware en años recientes.
Según Jakub Tomanek, analista de malware de ESET, los operadores detrás de Lumma Stealer desarrollan sus características, refinan su capacidad para evadir la detección de malware, mientras también registran dominios para alojar el malware.
Le dijo a Decrypt que: "Su objetivo principal es mantener el servicio operativo y rentable, cobrando tarifas de suscripción mensual de los afiliados, ejecutando efectivamente Lumma Stealer como un negocio cibercriminal sostenible".
Debido a que evita a los ciberdelincuentes la necesidad de desarrollar malware y cualquier infraestructura subyacente, el MaaS como Lumma Stealer ha demostrado ser obstinadamente popular.
En mayo, el Departamento de Justicia de Estados Unidos incautó cinco dominios de internet que los ciberdelincuentes estaban utilizando para operar el malware Lumma Stealer, mientras que Microsoft eliminó privadamente 2.300 dominios similares.
Sin embargo, los reportes han revelado que Lumma Stealer ha resurgido desde mayo, con un análisis de julio de Trend Micro que muestra que "el número de cuentas objetivo regresó constantemente a sus niveles habituales" entre junio y julio.
Parte del atractivo de Lumma Stealer es que las suscripciones, que a menudo son mensuales, son económicas en relación con las ganancias potenciales que se pueden obtener.
"Disponible en foros de la dark web por tan solo $250, este sofisticado ladrón de información se enfoca específicamente en lo que más importa a los ciberdelincuentes: billeteras de criptomonedas, credenciales almacenadas en navegadores y sistemas de autenticación de dos factores", dijo Nathaniel Jones, VP de Seguridad y Estrategia de IA en Darktrace.
Jones le dijo a Decrypt que la escala de las explotaciones de Lumma Stealer ha sido "alarmante", con 2023 siendo testigo de pérdidas estimadas de $36,5 millones, así como 400.000 dispositivos Windows infectados en el espacio de dos meses.
"Pero la verdadera preocupación no son solo los números, sino la estrategia de monetización de múltiples capas", dijo. "Lumma no solo roba datos, sino que sistemáticamente recolecta historiales de navegadores, información del sistema e incluso archivos de configuración de AnyDesk antes de filtrar todo hacia centros de comando controlados por rusos".
La amenaza de Lumma Stealer se intensifica por el hecho de que los datos robados a menudo se alimentan directamente a "equipos de tráfico", que se especializan en el robo y reventa de credenciales.
"Esto crea un efecto en cascada devastador donde una sola infección puede llevar al secuestro de cuentas bancarias, robo de criptomonedas y fraude de identidad que persiste mucho después de la violación inicial", agregó Jones.
Mientras que Darktrace sugirió un origen o centro ruso para los exploits relacionados con Lumma, DNSFilter señaló que los ciberdelincuentes que hacen uso del servicio de malware podrían estar operando desde múltiples territorios.
"Es común que tales actividades maliciosas involucren a individuos o grupos de múltiples países", dijo Pruitt, agregando que esto es especialmente frecuente "con el uso de proveedores de alojamiento internacionales y plataformas de distribución de malware".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.