12-05-2025, 04:30 PM
Nombre: Lumma Stealer (también conocido como LummaC2)
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: Observado en foros desde finales de 2022; gran expansión entre 2023–2025
Comportamiento (lo que hace y archivos que infecta):
Lumma Stealer / LummaC2 es un infostealer por suscripción (MaaS) especializado en robar información sensible de sistemas Windows. Sus capacidades incluyen:
- Robo de credenciales, cookies e historiales de navegadores.
- Robo de wallets de criptomonedas (archivos de monederos, extensiones de navegador, etc.).
- Robo de datos de aplicaciones como clientes FTP/VPN, mensajería y algunas herramientas de ofimática.
- Recolección de datos del sistema (versión de Windows, procesos, hardware) y posibilidad de instalar otros malware.
Vectores de distribución habituales:
- Descarga de “software gratuito” o crackeado desde páginas falsas o malvertising.
- Campañas de phishing con adjuntos maliciosos y enlaces que llevan a instaladores trojanizados.
- Abuso de scripts y PowerShell ofuscado para descargar y ejecutar el payload.
Los archivos afectados son principalmente:
- Bases de datos de credenciales de navegadores.
- Archivos de configuración de aplicaciones (VPN, FTP, etc.).
- Archivos temporales donde empaqueta la información robada antes de enviarla al C2.
Persistencia:
Lumma suele:
- Copiarse en rutas de usuario (ej. %APPDATA%) con nombres que parecen legítimos.
- Crear claves de autoejecución en el Registro (Run/RunOnce).
- Usar tareas programadas o scripts que relanzan el ejecutable al iniciar sesión.
En algunas campañas, el objetivo principal es “robar rápido y salir”, pero en otras se mantiene como agente persistente para exfiltrar datos de forma continua.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Lumma/LummaStealer:
Mitigación con GetOverX Shield v3.0.2.0:
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: Observado en foros desde finales de 2022; gran expansión entre 2023–2025
Comportamiento (lo que hace y archivos que infecta):
Lumma Stealer / LummaC2 es un infostealer por suscripción (MaaS) especializado en robar información sensible de sistemas Windows. Sus capacidades incluyen:
- Robo de credenciales, cookies e historiales de navegadores.
- Robo de wallets de criptomonedas (archivos de monederos, extensiones de navegador, etc.).
- Robo de datos de aplicaciones como clientes FTP/VPN, mensajería y algunas herramientas de ofimática.
- Recolección de datos del sistema (versión de Windows, procesos, hardware) y posibilidad de instalar otros malware.
Vectores de distribución habituales:
- Descarga de “software gratuito” o crackeado desde páginas falsas o malvertising.
- Campañas de phishing con adjuntos maliciosos y enlaces que llevan a instaladores trojanizados.
- Abuso de scripts y PowerShell ofuscado para descargar y ejecutar el payload.
Los archivos afectados son principalmente:
- Bases de datos de credenciales de navegadores.
- Archivos de configuración de aplicaciones (VPN, FTP, etc.).
- Archivos temporales donde empaqueta la información robada antes de enviarla al C2.
Persistencia:
Lumma suele:
- Copiarse en rutas de usuario (ej. %APPDATA%) con nombres que parecen legítimos.
- Crear claves de autoejecución en el Registro (Run/RunOnce).
- Usar tareas programadas o scripts que relanzan el ejecutable al iniciar sesión.
En algunas campañas, el objetivo principal es “robar rápido y salir”, pero en otras se mantiene como agente persistente para exfiltrar datos de forma continua.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como Lumma/LummaStealer:
Code:
e7a78fdf5808285ebcc98c2ac2831766a92560ee9674ddeb5e9f0d3f25da71cfMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
Ejecutar un escaneo completo para eliminar el binario de Lumma y sus droppers, incluyendo ejecutables descargados recientemente y scripts PowerShell sospechosos.
- Firewall:
Bloquear conexiones salientes hacia dominios/IPs identificados como C2 de Lumma y en general restringir tráfico hacia dominios de baja reputación, especialmente justo después de la ejecución de nuevos programas.
- HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a almacenes de credenciales (navegadores, wallets, FTP/VPN).
- Creación de archivos comprimidos o paquetes en %TEMP% seguidos de conexiones HTTP/HTTPS hacia dominios desconocidos.
- Uso de PowerShell ofuscado que descarga y ejecuta binarios.
Al dispararse, matar el proceso, bloquear el hash y registrar el incidente.
- Sandbox:
Enviar a Sandbox:
- Instaladores descargados fuera de webs oficiales.
- “Actualizaciones” o herramientas supuestamente relacionadas con IA, gaming o criptomonedas.
Observar si intentan exfiltrar datos o leer masivamente perfiles de navegador.
- Medidas posteriores al incidente:
- Forzar cambio de todas las credenciales almacenadas en el equipo (correo, VPN, banca, paneles de hosting, wallets).
- Revisar movimientos de cuentas de criptomonedas y accesos sospechosos a servicios en línea.
- Verificar si se han instalado otras familias de malware a través de Lumma (cadena de infección).