O malware Lumma, conhecido pela sua capacidade de roubar informações sensíveis, está a retomar as suas operações a todo o gás, poucas semanas após uma megaoperação policial em maio que apreendeu mais de 2.300 domínios e desmantelou parte da sua infraestrutura. Apesar do golpe, o serviço de "malware-como-serviço" (MaaS) não foi totalmente erradicado e demonstrou uma resiliência preocupante.
Uma operação policial com pouco impacto
Logo após a ação das autoridades, os operadores do Lumma admitiram a situação em fóruns de cibercrime, mas garantiram que o seu servidor central não tinha sido capturado, apesar de ter sido apagado remotamente. O esforço de recuperação começou de imediato.
A confiança na plataforma dentro da comunidade de cibercriminosos foi rapidamente restabelecida, e o Lumma está novamente a facilitar operações de roubo de informação em múltiplas frentes. Segundo analistas da Trend Micro, a atividade do malware já atingiu níveis semelhantes aos registados antes da intervenção policial, evidenciando uma reconstrução veloz da sua infraestrutura.
A nova tática para evitar ser apanhado
O relatório da Trend Micro revela uma mudança estratégica fundamental. O Lumma continua a usar infraestruturas legítimas na cloud para camuflar o seu tráfego malicioso, mas abandonou a Cloudflare, optando por fornecedores alternativos para evitar novas apreensões. O principal novo aliado é a empresa russa Selectel.
Os quatro principais métodos de infeção
A investigação destacou quatro canais de distribuição que o Lumma está a utilizar ativamente para infetar novos alvos, mostrando um regresso em força a uma abordagem multifacetada:
Cracks e Keygens Falsos: Através de publicidade maliciosa e resultados de pesquisa manipulados, as vítimas são levadas a descarregar falsos ativadores de software que, na realidade, instalam o Lumma.
ClickFix: Sites comprometidos exibem falsas páginas de CAPTCHA que enganam os utilizadores, levando-os a executar comandos PowerShell. Estes comandos carregam o Lumma diretamente na memória do sistema, escapando a muitos mecanismos de deteção baseados em ficheiros.
GitHub: Os atacantes estão a criar repositórios no GitHub com conteúdo gerado por inteligência artificial que promove cheats para jogos. Estes repositórios alojam o malware Lumma, disfarçado de ficheiros executáveis ou comprimidos.
YouTube e Facebook: A distribuição atual também passa por vídeos no YouTube e publicações no Facebook que promovem software pirateado. Os links conduzem a sites externos que alojam o malware, por vezes abusando de serviços como o sites.google.com para parecerem mais credíveis.
O ressurgimento do Lumma como uma ameaça significativa demonstra que as ações policiais, quando não resultam em detenções ou acusações formais, são muitas vezes insuficientes para travar estes atores do cibercrime. Para operadores de serviços tão lucrativos como o Lumma, estas operações são vistas apenas como um obstáculo rotineiro a contornar.
Nenhum comentário
Seja o primeiro!