Um consórcio de agências de aplicação da lei e empresas de tecnologia globais anunciou na quarta-feira que interrompeu o malware infostealer conhecido como Lumma. Um dos infostealers mais populares do mundo, o Lumma tem sido usado por centenas do que a Microsoft chama de “atores de ameaças cibernéticas” para roubar senhas, informações de cartões de crédito e bancárias, e detalhes de carteiras de criptomoedas. A ferramenta, que as autoridades afirmam ser desenvolvida na Rússia, forneceu aos cibercriminosos as informações e credenciais necessárias para esvaziar contas bancárias, interromper serviços e realizar ataques de extorsão de dados contra escolas, entre outras coisas.
A Unidade de Crimes Digitais da Microsoft (DCU) obteve uma ordem de um tribunal distrital dos Estados Unidos na semana passada para apreender e derrubar cerca de 2.300 domínios que sustentam a infraestrutura do Lumma. Ao mesmo tempo, o Departamento de Justiça dos EUA apreendeu a infraestrutura de comando e controle do Lumma e interrompeu os mercados cibercriminosos que vendiam o malware Lumma. Tudo isso foi coordenado, também, com a interrupção da infraestrutura regional do Lumma pelo Centro Europeu de Cibercrime da Europol e pelo Centro de Controle de Cibercrime do Japão.
Os advogados da Microsoft escreveram na quarta-feira que o Lumma, que também é conhecido como LummaC2, se espalhou tão amplamente porque é “fácil de distribuir, difícil de detectar e pode ser programado para contornar certas defesas de segurança”. Steven Masada, advogado assistente da DCU da Microsoft, diz em um post no blog que o Lumma é uma “ferramenta de escolha”, incluindo para o notório grupo de cibercriminosos Scattered Spider. Os atacantes distribuem o malware usando ataques de phishing direcionados que geralmente imitam empresas e serviços estabelecidos, como a própria Microsoft, para enganar as vítimas.
“Em 2025, provavelmente seguindo a interrupção do Redline e o próprio desenvolvimento do Lumma, ele se classificou como o módulo mais ativo, indicando sua crescente popularidade e ampla adoção entre os cibercriminosos”, diz Victoria Kivilevich, diretora de pesquisa de ameaças da empresa de segurança Kela.
A Microsoft afirma que mais de 394.000 computadores Windows foram infectados pelo malware Lumma entre 16 de março e 16 de maio deste ano. E o Lumma foi mencionado em mais de 21.000 listagens em fóruns de cibercrime na primavera de 2024, de acordo com números citados em um aviso publicado hoje pelo Federal Bureau of Investigation (FBI) e pela Cybersecurity and Infrastructure Security Agency (CISA). O malware foi avistado embutido em geradores de vídeo de IA falsos, sites de geração de “deepfake” falsos e distribuído por páginas CAPTCHA falsas.
A colaboração das forças de segurança com a DCU da Microsoft e outras empresas de tecnologia, como a Cloudflare, concentrou-se em interromper a infraestrutura do Lumma de várias maneiras, para que seus desenvolvedores não pudessem simplesmente contratar novos provedores ou criar sistemas paralelos para se reconstruir.
“O papel da Cloudflare na interrupção incluiu bloquear os domínios do servidor de comando e controle, os domínios do Marketplace do Lumma e banir as contas que foram usadas para configurar os domínios”, escreveu a empresa em um post no blog na quarta-feira. “A Microsoft coordenou a derrubada dos domínios do Lumma com múltiplos registros relevantes para garantir que os criminosos não pudessem simplesmente mudar os servidores de nomes e recuperar seu controle.”
Embora o malware infostealer esteja presente há anos, seu uso por cibercriminosos e hackers de nações-estado disparou desde 2020. Normalmente, os infostealers chegam aos computadores das pessoas por meio de downloads de software pirateado ou por ataques de phishing direcionados que imitam empresas e serviços estabelecidos, como a própria Microsoft, para enganar as vítimas. Uma vez em um computador, ele é capaz de capturar informações sensíveis—como nomes de usuário e senhas, informações financeiras, extensões de navegador, detalhes de autenticação multifatorial e mais—e enviá-las de volta para os operadores do malware.
Alguns operadores de infostealers agrupam e vendem esses dados roubados. Mas, cada vez mais, os detalhes comprometidos atuaram como um portal para hackers lançarem novos ataques, fornecendo-lhes as informações necessárias para acessar contas online e as redes de corporações de bilhões de dólares.
“Está claro que os infostealers se tornaram mais do que apenas malware de grab-and-go,” diz Patrick Wardle, CEO da empresa de segurança focada em dispositivos Apple, DoubleYou. “Em muitas campanhas, eles realmente atuam como a primeira etapa, coletando credenciais, tokens de acesso e outros dados que permitem a movimentação lateral, espionagem ou ransomware.”
O infostealer Lumma surgiu pela primeira vez em fóruns de cibercrime de língua russa em 2022, de acordo com o FBI e a CISA. Desde então, seus desenvolvedores atualizaram suas capacidades e lançaram várias versões diferentes do software.
Desde 2023, por exemplo, eles têm trabalhado para integrar IA na plataforma do malware, de acordo com descobertas da empresa de segurança Trellix. Os atacantes querem adicionar essas capacidades para automatizar parte do trabalho envolvido na limpeza das enormes quantidades de dados brutos coletados pelos infostealers, incluindo identificar e separar contas “bot” que são menos valiosas para a maioria dos atacantes.
Um administrador do Lumma disse à 404Media e à WIRED no ano passado que incentivou tanto hackers experientes quanto novos cibercriminosos a usar seu software. “Isso nos traz uma boa renda”, disse o administrador, referindo-se à revenda de dados de login roubados.
A Microsoft afirma que o principal desenvolvedor por trás do Lumma usa o nome online “Shamel” e está baseado na Rússia.
“Shamel comercializa diferentes níveis de serviço para o Lumma via Telegram e outros fóruns de chat de língua russa”, escreveu Masada da Microsoft na quarta-feira. “Dependendo do que um cibercriminoso compra, ele pode criar suas próprias versões do malware, adicionar ferramentas para ocultá-lo e distribuí-lo, e rastrear informações roubadas por meio de um portal online.”
Kivilevich, da Kela, diz que nos dias que antecederam a derrubada, alguns cibercriminosos começaram a reclamar em fóruns que havia problemas com o Lumma. Eles até especularam que a plataforma de malware havia sido alvo de uma operação de aplicação da lei.
“Com base no que vemos, há uma ampla gama de cibercriminosos admitindo que estão usando o Lumma, como atores envolvidos em fraude com cartões de crédito, vendas de acesso inicial, roubo de criptomoedas e mais”, diz Kivilevich.
Entre outras ferramentas, o grupo de hackers Scattered Spider—que atacou a Caesars Entertainment, MGM Resorts International e outras vítimas—foi avistado usando o stealer Lumma. Enquanto isso, de acordo com um relatório da TechCrunch, o malware Lumma foi supostamente usado na preparação do hack de dezembro de 2024 da empresa de tecnologia educacional PowerSchool, no qual mais de 70 milhões de registros foram roubados.
“Agora estamos vendo os infostealers não apenas evoluírem tecnicamente, mas também desempenharem um papel mais central operacionalmente,” diz Wardle, da DoubleYou. “Até mesmo atores de nações-estado estão desenvolvendo e implantando-os.”
Ian Gray, diretor de análise e pesquisa da empresa de segurança Flashpoint, diz que, embora os infostealers sejam apenas uma ferramenta que os cibercriminosos usarão, sua prevalência pode tornar mais fácil para os cibercriminosos esconderem seus rastros. “Até mesmo grupos de atores de ameaças avançadas estão aproveitando os logs de infostealers, ou correm o risco de queimar táticas, técnicas e procedimentos (TTPs) sofisticados,” diz Gray.
O Lumma não é o primeiro infostealer a ser alvo das forças de segurança. Em outubro do ano passado, a Polícia Nacional Holandesa, juntamente com parceiros internacionais, derrubou a infraestrutura ligada ao malware RedLine e MetaStealer, e o Departamento de Justiça dos EUA deslacrou acusações contra Maxim Rudometov, um dos supostos desenvolvedores e administradores do infostealer RedLine.
Apesar da repressão internacional, os infostealers provaram ser muito úteis e eficazes para os atacantes abandonarem. Como diz Gray, da Flashpoint, “Mesmo que o cenário mude devido à evolução das defesas, a crescente proeminência dos infostealers nos últimos anos sugere que eles provavelmente estarão aqui para ficar no futuro previsível. O uso deles explodiu.