Lumma Stealer
Ricerche sulle CyberMinacce

Lumma Stealer si evolve: nuove tecniche, vecchi inganni CAPTCHA

Il noto infostealer cambia TTP, ma mantiene la tattica del CAPTCHA: un’analisi approfondita
Scritto da , , , ,
15 Maggio 2025
Security Operations Threat Research featured Information Stealers lumma stealer

Nel settembre 2024, un’attività di threat hunting condotta attraverso la telemetria di Sophos Managed Detection and Response ha portato alla scoperta di una campagna Lumma Stealer che utilizzava siti CAPTCHA falsi. Questi siti inducevano le vittime a incollare un comando PowerShell codificato (e dannoso) nella riga di comando di Windows. Le successive indagini ci hanno permesso di analizzare a fondo il funzionamento del famigerato infostealer. Questo post racconta le scoperte emerse durante varie indagini MDR svolte tra l’autunno e l’inverno 2024-25.

Le basi di Lumma Stealer

Lumma Stealer è attivo dalla metà del 2022 e si ritiene abbia origini da uno sviluppatore di lingua russa. Offerto come Malware-as-a-Service (MaaS), viene venduto tramite Telegram, dove il manutentore fornisce aggiornamenti e supporto agli utenti. Ulteriori informazioni sono disponibili su un sito Gitbook dedicato.

Questo infostealer prende di mira numerosi dati sensibili, tra cui password, token di sessione, portafogli di criptovalute e informazioni personali dai dispositivi compromessi. La minaccia è aggravata da metodi di distribuzione ingegnosi. In un caso, l’attaccante ha sfruttato la fiducia degli utenti nei confronti dei CAPTCHA, utilizzando tecniche di ingegneria sociale per ingannare chi stava cercando di scaricare software. In un altro caso più diretto, l’utente veniva indirizzato a un sito malevolo e invitato ad aprire un file tramite Esplora Risorse di Windows.

Le variazioni nel comportamento di Lumma Stealer sono rilevanti per i difensori, poiché negli ultimi mesi l’infezione da questo malware è stata estremamente diffusa. Le tecniche di distribuzione osservate, inoltre, possono facilmente essere riadattate per altri malware, il che rende utile la loro documentazione. (Un elenco di IoC sarà disponibile nel nostro repository GitHub.)

I nostri ricercatori sono a conoscenza di attività simili in corso da parte dei Netskope Threat Labs, che stimano siano attualmente coinvolti fino a 5.000 siti CAPTCHA falsi in una campagna legata a Lumma Stealer. Anche i ricercatori di Qualys hanno condotto un’analisi approfondita sui meccanismi utilizzati recentemente da Lumma Stealer. Sophos raccomanda vivamente di analizzare gli IoC messi a disposizione da questi ricercatori, oltre ai nostri.

Continua a leggere l’articolo.

Andrew Petrus photo
L’autore

Andrew Petrus is an MDR Threat Analyst at Sophos with a passion for threat research and malware analysis. He enjoys studying different types of malware and sharing his findings with the security community.

Imane Ismail photo
L’autore

Imane Ismail is a Threat Analyst with Sophos' MDR group. Prior to joining Sophos, she worked as SOC analyst since 2021. Before transitioning to the cybersecurity industry, she spent more than 15 years in academia, specializing in computer networks and network security.

L’autore

Sushmita Shetty is an MDR Threat Analyst at Sophos, working remotely from Bangalore, where she leads incident investigations, threat hunting, and proactive threat mitigation across customer environments. She holds a Master of Science degree in Information Technology with a specialization in Cyber Security. In my free time, she loves traveling to different parts of the world, taking nature walks, and diving deep into research on emerging cybersecurity threats.

Ben Goldberg photo
L’autore

Ben Goldberg is a Threat Analyst with Sophos' MDR team, based in Australia.

Haigh Minassian photo
L’autore

Haigh Minassian is a Threat Analyst with Sophos MDR. This is his first permanent role in cybersecurity, where he focuses on malware analysis and threat intelligence. He’s passionate about advancing his skills and contributing to the team’s mission of staying ahead of evolving threats.

Leggi articoli simili