A complexa estrutura operacional da Lumma InfoStealer Affiliates foi revelada pelo Grupo Insikt em um relatório inovador publicado em 22 de agosto de 2025, destacando sua dependência de tecnologias de evasão de ponta para apoiar operações de crime cibernético.
O malware da LUMMA, uma plataforma proeminente de malware como serviço (MAAs) desde 2022, facilita a exfiltração de dados de navegadores, carteiras de criptomoeda e credenciais do sistema, apoiados por uma rede descentralizada de afiliadas que empregam ferramentas sofisticadas para anonimato e perseguição.
Revelando o ecossistema Lumma InfoSoSealer
Apesar das interrupções da aplicação da lei em maio de 2025, o ecossistema de Lumma demonstra resiliência notável, reconstruindo rapidamente a infraestrutura e integração de proxies, VPNs e navegadores anti-detecção para evitar o monitoramento de segurança e rede.
Afiliados alavancam serviços de procuração residencial como PIA Proxy e Fantasmasque permite que o IP se disfarça de robôs comprometidos, permitindo que ataques imitem as origens das vítimas e ignorem as defesas à base de geofences ou biscoitos.
Essa integração se estende a provedores de VPN como ExpressVPN e NordVPN, combinados com navegadores anti-detecção como golfinho e OCTO, que manipulam impressões digitais digitais para gerenciamento de várias contas, garantindo a continuidade operacional em meio a quedas.
O relatório detalha como esses atores terceirizam a evasão por meio de serviços como os kits de Cryping e exploração de Hector, gerando cargas úteis totalmente indetectáveis (FUD) em formatos como documentos .xll ou macro, capazes de contornar os gateways de email e os motores antivírus, como o Windows Defender.
Diversificação de afiliados
As afiliadas de Lumma exibem agilidade operacional, implantando simultaneamente vários infotealistas, incluindo Vidar, Stealc e Meduza, para mitigar os riscos de convulsões de detecção ou infraestrutura, aumentando assim as taxas de sucesso em taxas de sucesso em colheita de credenciais e roubo de dados financeiros.
A investigação do Insikt Group, abrangendo a segunda metade de 2024 a meados de 2025, extrai-se de manuais de afiliados, inteligência de malware e registros de identidade para revelar a incorporação profunda dos afiliados em fóruns subterrâneos como XSS, explorar e LOLZTeam, onde recrutam recursos comerciais e monitorizam os dados de dados via automaticamente, e a LOLZTeam, quando recrutam recursos e monitoram os dados de dados viajados por meio de dados automáticos, e a LOLZTeam, e contrataram os dados de dados, e monitoram os dados de dados, os russos e contrataram os dados de sticid.
Essas plataformas servem como hubs para adquirir hospedagem à prova de balas de fornecedores como ANONRDP e HOSTCAY, que oferecem serviços VPs e RDP resistentes a remoção de quedas com pagamentos de criptomoeda, promovendo um ambiente tolerante a botnets, phishing e spam.
Os afiliados aumentam ainda mais sua criação comercial com ferramentas como o software de email rachado 1.4.0.9 para validação de credenciais e Donussef para páginas de phishing geradas pela IA, permitindo golpes como fraude imobiliária em plataformas como WG-Gesucht, onde as credenciais comprometidas facilitam os fraudes enganosos envolvendo falsões falsas.
A evasão de detecção se estende a serviços como Kleenscan para varredura de malware sem compartilhamento de fornecedores, e provedores de SMS virtuais como OnLinesim para desvio OTP, ressaltando uma abordagem em camadas de ofuscação.
A análise identifica Afiliados específicos, como o Blackowl23 vinculado ao NGIOWEB BOTNET IPS e a golpes imobiliários, e outros como o sofrimento de brigas usando painéis Stealc, ilustrando táticas personalizadas na estrutura lumma padronizada.
Olhando para o futuro, o Grupo INSIKT prevê a evolução contínua, com afiliadas diversificando em nichos focados em criptomoedas e mensagens criptografadas, complicando a atribuição.
Os defensores devem implementar regras Yara, Sigma e Snort para monitoramento de exfiltração, juntamente com o treinamento dos funcionários sobre ataques de malvertismo e clickfix, enquanto os esforços sustentados da aplicação da lei e da inteligência permanecem essenciais para combater esse cenário de ameaças resilientes.
Esta investigação ressalta o papel de Lumma como pioneiro nos MAAs Infotealer, exemplificando redes descentralizadas de crimes cibernéticos que se recuperam rapidamente de interrupções.
Indicadores de compromisso (IOCs)
| Tipo | Indicador |
|---|---|
| Endereços IP NGIOWEB | 38[.]91[.]107[.]2 |
| Endereços IP NGIOWEB | 38[.]91[.]107[.]229 |
| Endereços IP NGIOWEB | 51[.]83[.]116[.]4 |
| Endereços IP NGIOWEB | 66[.]29[.]129[.]52 |
| Endereços IP NGIOWEB | 67[.]213[.]210[.]115 |
| Endereços IP NGIOWEB | 67[.]213[.]212[.]50 |
| Endereços IP NGIOWEB | 162[.]210[.]192[.]136 |
| Endereços IP NGIOWEB | 174[.]138[.]176[.]77 |
| Endereços IP NGIOWEB | 174[.]138[.]176[.]78 |
| Endereços IP NGIOWEB | 195[.]154[.]43[.]189 |
| Endereços IP NGIOWEB | 209[.]159[.]153[.]19 |
| Endereços IP NGIOWEB | 212[.]83[.]137[.]94 |
| Endereços IP NGIOWEB | 212[.]83[.]138[.]186 |
| Endereços IP NGIOWEB | 212[.]83[.]138[.]245 |
| Endereços IP NGIOWEB | 212[.]83[.]143[.]103 |
| Endereços IP NGIOWEB | 212[.]83[.]143[.]118 |
| Endereços IP NGIOWEB | 212[.]83[.]143[.]159 |
| Endereços IP NGIOWEB | 212[.]83[.]143[.]191 |
| Amostra de Lumma SHA-256 | B8E02F2BC0FFB42E8CF28E37A26D8D825F639079BF6D948F8DEBAB6440EEE5630 |
| Painel Meduza | hxxp: // 195[.]133[.]18[.]15/AUTH/LOGIN |
| Painel Stealc | hxxp: // 94[.]232[.]249[.]208/6A6FE9D70500FE64/main.php |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!