Uma vasta operação coordenada, envolvendo múltiplas empresas de tecnologia e autoridades policiais de diversos países, desferiu um duro golpe no início deste mês contra o Lumma, um conhecido malware do tipo "information stealer" (ladrão de informações) que operava num modelo de Malware-as-a-Service (MaaS). A ação resultou na apreensão de milhares de domínios e de parte significativa da sua infraestrutura base a nível mundial.
Megaoperação global encerra infraestrutura do Lumma
Este esforço concertado culminou com a Microsoft a conseguir a apreensão de aproximadamente 2.300 domínios, após uma ação legal contra o malware datada de 13 de maio de 2025. Paralelamente, o Departamento de Justiça dos Estados Unidos (DOJ) desmantelou os mercados online onde o Lumma era alugado a cibercriminosos, apreendendo o painel de controlo do malware. O Centro Europeu de Cibercrime da Europol (EC3) e o Centro de Controlo de Cibercrime do Japão (JC3) também desempenharam um papel crucial na apreensão da infraestrutura do Lumma sediada na Europa e no Japão.
Steven Masada, Conselheiro Geral Adjunto da Unidade de Crimes Digitais da Microsoft, afirmou: "Entre 16 de março de 2025 e 16 de maio de 2025, a Microsoft identificou mais de 394.000 computadores Windows infetados globalmente pelo malware Lumma. Trabalhando com as autoridades e parceiros da indústria, cortámos as comunicações entre a ferramenta maliciosa e as vítimas."
A Cloudflare, outra das empresas envolvidas, destacou num comunicado recente que "a ação de desmantelamento do Lumma Stealer nega aos operadores do Lumma o acesso ao seu painel de controlo, ao mercado de dados roubados e à infraestrutura de Internet usada para facilitar a recolha e gestão desses dados. Estas ações impõem custos operacionais e financeiros tanto aos operadores do Lumma como aos seus clientes, forçando-os a reconstruir os seus serviços em infraestruturas alternativas."
Outras entidades que participaram nesta ação conjunta incluem a ESET, CleanDNS, Bitsight, Lumen, GMO Registry e a firma de advocacia global Orrick.
Cloudflare na linha da frente contra o abuso
A Cloudflare revelou que o Lumma Stealer abusava dos seus serviços para ocultar os endereços IP de origem dos servidores utilizados pelos criminosos para recolher credenciais e dados roubados. Mesmo após a suspensão de domínios usados pela operação, o malware conseguia contornar a página de aviso intersticial da Cloudflare, levando a empresa a tomar medidas adicionais para bloquear a exfiltração de dados.
"A equipa de Confiança e Segurança da Cloudflare sinalizou repetidamente os domínios usados pelos criminosos e suspendeu as suas contas," explica um relatório da Cloudflare. "Em fevereiro de 2025, observou-se que o malware Lumma estava a contornar a página de aviso intersticial da Cloudflare, que é uma das contramedidas que a Cloudflare emprega para perturbar atores maliciosos."
Como resposta, "a Cloudflare adicionou o serviço Turnstile à página de aviso intersticial, para que o malware não a pudesse contornar."
O que é o temível Lumma (LummaC2)?
O Lumma, também conhecido como LummaC2, é um malware do tipo "information stealer" que visa sistemas Windows e macOS. Os cibercriminosos podem alugá-lo através de uma subscrição que varia entre os 250 e os 1.000 dólares americanos.
Este malware possui capacidades avançadas de evasão e roubo de dados, sendo comummente distribuído através de vários canais, incluindo comentários no GitHub, sites geradores de imagens "deepfake" de teor adulto e através de "malvertising" (publicidade maliciosa) para infetar as vítimas.
Após comprometer um sistema, o Lumma consegue roubar dados de navegadores web e aplicações, incluindo carteiras de criptomoedas, cookies, credenciais, palavras-passe, dados de cartões de crédito e histórico de navegação de browsers como Google Chrome, Microsoft Edge, Mozilla Firefox e outros baseados em Chromium. Os dados roubados são depois compilados num arquivo e enviados para servidores controlados pelos atacantes, que posteriormente vendem a informação em mercados de cibercrime ou utilizam-na noutros ataques.
Popularidade e o crescente mercado de dados roubados
O Lumma surgiu pela primeira vez para venda em fóruns de cibercrime em dezembro de 2022 e, segundo a empresa de informações sobre ameaças KELA, tornou-se popular entre os cibercriminosos poucos meses depois.
Conforme assinalado no relatório de informações sobre ameaças de 2025 da IBM X-Force, registou-se um aumento de 12% nas credenciais roubadas por infostealers à venda na dark web durante o último ano. Este aumento segue-se a um crescimento massivo de 84% na entrega de infostealers via phishing, sendo o Lumma o mais prevalente por uma larga margem.
Impacto real: De empresas a infraestruturas críticas
O Lumma tem sido utilizado em campanhas massivas de "malvertising" que afetaram centenas de milhares de PCs e por muitos grupos e atores de ameaças notórios, incluindo o coletivo de cibercrime Scattered Spider.
Mais recentemente, dados roubados através de malware do tipo "information-stealing" estiveram por detrás de violações de alto impacto em empresas como a PowerSchool, HotTopic, CircleCI e Snowflake.
Além de serem usados para violar redes corporativas, as credenciais roubadas por malware infostealer também têm sido utilizadas para causar o caos através da corrupção de informações de encaminhamento de rede. Um exemplo disso foi o caso de atores de ameaças que sequestraram a conta RIPE da Orange Espanha para desconfigurar o encaminhamento BGP e as configurações RPKI. Ações como a agora efetuada contra o Lumma são, por isso, vitais para a segurança do ecossistema digital.
Nenhum comentário
Seja o primeiro!