LummaStealer torna dopo il takedown del 2025 grazie a nuove campagne di social engineering e a un loader che esegue il payload in memoria ed esfiltra credenziali e token 2FA.
Autore: Redazione SecurityOpenLab
Nonostante l’operazione del 2025 delle forze dell’ordine, che sembrava aver disarticolato in modo definitivo la sua infrastruttura, LummaStealer è tornato al centro della scena del cybercrime. A seguirne l’evoluzione sono stati i ricercatori di Bitdefender, che hanno individuato CastleLoader, un loader particolarmente sofisticato capace di distribuire LummaStealer in catene di attacco altamente elusive grazie al caricamento del payload quasi interamente in memoria.
A beneficio di chiarezza, LummaStealer è attivo almeno dal 2022 ed è considerato uno degli info‑stealer più diffusi, complice un modello consolidato di Malware‑as‑a‑Service che ne facilita l’adozione da parte della criminalità organizzata. Gli affiliati che lo utilizzano sono distribuiti a livello globale e lo impiegano soprattutto in campagne su larga scala, mirate a monetizzare le informazioni sottratte attraverso l’account takeover e diverse forme di frode finanziaria. È proprio questo ecosistema distribuito ad aver reso l’operazione particolarmente resiliente fino al maggio 2025, quando un’operazione internazionale di law enforcement ha inferto un duro colpo all’infrastruttura di LummaStealer, portando alla disattivazione di oltre 2.300 domini di comando e controllo. L’intervento, tuttavia, non ha portato allo smantellamento definitivo dell’operazione, tanto che nel giro di pochi mesi il volume di attività è tornato a crescere, fino a registrare un nuovo picco tra dicembre 2025 e gennaio 2026.
Le novità includono un ecosistema di distribuzione fondato su campagne di social engineering sempre più convincenti e una catena d’infezione progettata affinché ogni passaggio appaia plausibile agli occhi della vittima: dalla pagina web apparentemente innocua al finto CAPTCHA, passando per l’uso di piattaforme popolari o di siti dedicati allo sviluppo di videogiochi, usati come veicoli per contenuti contraffatti. Il punto di ingresso tipico delle campagne recenti è la tecnica nota come ClickFix, che combina social engineering e abuso degli strumenti di sistema. La vittima viene indirizzata su una pagina con un falso CAPTCHA o un messaggio che segnala un problema che richiede un intervento manuale, spesso accompagnato da istruzioni che invitano a selezionare la combinazione di tasti Win+R e incollare un contenuto già copiato negli appunti.
In realtà, quel contenuto è una one‑liner PowerShell, che, una volta eseguita, contatta l’infrastruttura dell’attaccante e scarica il primo stadio del loader senza che l’utente ne abbia contezza. A questo punto entra in scena CastleLoader, il componente che ha permesso a LummaStealer di rafforzare la propria capacità di evasione e scalabilità. CastleLoader è un loader script‑based, progettato per decifrare e caricare il payload direttamente in memoria, così da ridurre al minimo le tracce su disco. Le varianti più recenti sono spesso scritte in Python, con script pesantemente offuscati mediante la rinomina a dizionario delle variabili, l’inserimento di codice spazzatura e più livelli di decifrazione. Questa architettura modulare consente di sostituire o aggiornare i payload in modo relativamente semplice, mantenendo invariata la struttura del loader e quindi la catena di distribuzione.
Dal punto di vista operativo, CastleLoader si sviluppa in più stadi interamente in memoria, con un’intensa attività di obfuscation e risoluzione dinamica delle API. Il loader esegue controlli sull’ambiente per rendere più difficile l’analisi nelle sandbox, tra cui l’uso di richieste DNS volutamente fallite verso domini inesistenti, che fungono da test rudimentali per individuare esecuzioni non realistiche. Paradossalmente, proprio queste richieste anomale creano un’impronta di rete che può essere sfruttata dai difensori come indicatore di compromissione.
Superati i controlli, CastleLoader passa alla fase di persistenza e consolidamento della presenza sul sistema, spesso creando attività pianificate o scorciatoie in avvio automatico per garantire che il loader venga rieseguito a ogni riavvio o login. I file associati possono essere salvati in directory con nomi fuorvianti. Nel passaggio successivo si arriva al cuore della kill chain: la decifratura e l’esecuzione di LummaStealer. CastleLoader può consegnare Lumma come payload integrato nel proprio pacchetto o scaricarlo on‑demand dai server di comando e controllo, a seconda della campagna e del livello di modularità desiderato. Una volta avviato sul sistema della vittima, LummaStealer entra in funzione come info‑stealer ad alta scalabilità all’interno dei sistemi Windows.
Le capacità di esfiltrazione dati di LummaStealer coprono un ampio spettro di informazioni sensibili, fra cui credenziali memorizzate nei browser, cookie di sessione, portafogli di criptovalute e token di autenticazione a due fattori. Quest’ultimo consente ai cyber criminali di bypassare quelle protezioni che in molte aziende sono ancora considerate un baluardo sufficiente contro l’accesso non autorizzato. I dati raccolti possono essere utilizzati direttamente dagli affiliati per compromissioni mirate o rivenduti sul mercato nero, alimentando una catena di reati secondari come frodi bancarie e accessi abusivi ad account aziendali.
Sul fronte dell’infrastruttura, Bitdefender ha individuato una sovrapposizione tra i domini utilizzati da CastleLoader e quelli associati alle operazioni di LummaStealer: un indizio che suggerisce una collaborazione diretta tra i team di sviluppo o, quantomeno, l’uso dei medesimi fornitori di servizi per l’hosting e la gestione dei domini. Questa sovrapposizione è in linea con la tendenza, osservata in più famiglie di malware, a riutilizzare registrazioni di dominio e risorse di hosting in modo trasversale, creando un ecosistema sempre più interdipendente.
Per i team di sicurezza è consigliata una difesa basata sull’analisi approfondita delle tattiche di social engineering, delle infrastrutture di distribuzione e dei comportamenti post‑infezione, che faccia facendo, dove possibile, su indicatori meno ovvi come pattern DNS anomali, sequenze di esecuzione di PowerShell sospette e persistenze atipiche nel sistema.