GETOVERX FORUM Community Support
Lumma Stealer / LummaC2 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: Lumma Stealer / LummaC2 (/showthread.php?tid=114)

Lumma Stealer / LummaC2 - mrwebfeeder - 12-05-2025

Nombre: Lumma Stealer (también conocido como LummaC2)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: Observado en foros desde finales de 2022; gran expansión entre 2023–2025

Comportamiento (lo que hace y archivos que infecta):
Lumma Stealer / LummaC2 es un infostealer por suscripción (MaaS) especializado en robar información sensible de sistemas Windows. Sus capacidades incluyen:
- Robo de credenciales, cookies e historiales de navegadores.
- Robo de wallets de criptomonedas (archivos de monederos, extensiones de navegador, etc.).
- Robo de datos de aplicaciones como clientes FTP/VPN, mensajería y algunas herramientas de ofimática.
- Recolección de datos del sistema (versión de Windows, procesos, hardware) y posibilidad de instalar otros malware.

Vectores de distribución habituales:
- Descarga de “software gratuito” o crackeado desde páginas falsas o malvertising.
- Campañas de phishing con adjuntos maliciosos y enlaces que llevan a instaladores trojanizados.
- Abuso de scripts y PowerShell ofuscado para descargar y ejecutar el payload.

Los archivos afectados son principalmente:
- Bases de datos de credenciales de navegadores.
- Archivos de configuración de aplicaciones (VPN, FTP, etc.).
- Archivos temporales donde empaqueta la información robada antes de enviarla al C2.

Persistencia:
Lumma suele:
- Copiarse en rutas de usuario (ej. %APPDATA%) con nombres que parecen legítimos.
- Crear claves de autoejecución en el Registro (Run/RunOnce).
- Usar tareas programadas o scripts que relanzan el ejecutable al iniciar sesión.
En algunas campañas, el objetivo principal es “robar rápido y salir”, pero en otras se mantiene como agente persistente para exfiltrar datos de forma continua.

Hash real de referencia (SHA-256):
Muestra pública etiquetada como Lumma/LummaStealer:
Code:
e7a78fdf5808285ebcc98c2ac2831766a92560ee9674ddeb5e9f0d3f25da71cf

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    Ejecutar un escaneo completo para eliminar el binario de Lumma y sus droppers, incluyendo ejecutables descargados recientemente y scripts PowerShell sospechosos.

  • Firewall:
    Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Lumma y en general restringir tráfico hacia dominios de baja reputación, especialmente justo después de la ejecución de nuevos programas.

  • HIPS/EDR:
    Configurar reglas para detectar:
    - Acceso masivo a almacenes de credenciales (navegadores, wallets, FTP/VPN).
    - Creación de archivos comprimidos o paquetes en %TEMP% seguidos de conexiones HTTP/HTTPS hacia dominios desconocidos.
    - Uso de PowerShell ofuscado que descarga y ejecuta binarios.
    Al dispararse, matar el proceso, bloquear el hash y registrar el incidente.

  • Sandbox:
    Enviar a Sandbox:
    - Instaladores descargados fuera de webs oficiales.
    - “Actualizaciones” o herramientas supuestamente relacionadas con IA, gaming o criptomonedas.
    Observar si intentan exfiltrar datos o leer masivamente perfiles de navegador.

  • Medidas posteriores al incidente:
    - Forzar cambio de todas las credenciales almacenadas en el equipo (correo, VPN, banca, paneles de hosting, wallets).
    - Revisar movimientos de cuentas de criptomonedas y accesos sospechosos a servicios en línea.
    - Verificar si se han instalado otras familias de malware a través de Lumma (cadena de infección).