Desmantelado pela Europol e pela Microsoft em maio de 2025, o malware russo Lumma Stealer ressurgiu rapidamente com uma infraestrutura reforçada. De acordo com um novo estudo da Bitdefender, este ladrão de dados experimentou um ressurgimento espetacular desde dezembro de 2025.
Em maio de 2025, a Europol e a Microsoft desmantelaram o Lumma Stealer, malware russo que rouba palavras-passe, logins e dados bancários. A operação desmantelou a infraestrutura de malware e libertou 394 mil computadores Windows infectados. Apesar dos esforços da Microsoft e das autoridades, o vírus rapidamente retornou dos mortos. Poucos meses após a ofensiva, no meio do verão, o malware voltou ao primeiro plano com uma infraestrutura totalmente nova. Embora sua reputação tenha sido manchada pelo desmantelamento, o Lumma Stealer conseguiu reconquistar a confiança dos cibercriminosos. Na verdade, o malware é disponibilizado aos hackers como parte de uma assinatura de Malware como serviço (MaaS).
Vários meses após o retorno do vírus, os pesquisadores do Bitdefender revelam que ele é usado “em diversas campanhas maliciosas”. De acordo com suas investigações, o malware assumiu “uma atividade em grande escala”e isto menos de um ano após a operação levada a cabo pela Europol. Entre dezembro de 2025 e janeiro de 2026, os pesquisadores da Bitdefender observaram um aumento considerável de infecçõesprincipalmente na Índia, nos Estados Unidos e na Europa. O grupo criminoso russo por trás de Lumma é “conseguiu sobreviver, reorganizar e reconstruir rapidamente a sua infraestrutura”. Agora, os hackers migraram para provedores de hospedagem à prova de balas, que cooperam menos com as autoridades.
Leia também: cuidado com CAPTCHAs, eles podem fazer com que você instale um vírus
Como Lumma Stealer orquestra ataques ClickFix
As atuais campanhas envolvendo Lumma Stealer baseiam-se na engenharia social, ou seja, na manipulação psicológica dos internautas. Os pesquisadores estudaram vários ataques cibernéticos baseados em um mecanismo cada vez mais difundido, ClickFix. Este tipo de campanha maliciosa consiste em manipular os usuários para levá-los a realizar ações muito específicas. Sem perceber, o alvo instalará um vírus ou dará aos cibercriminosos acesso ao seu computador. A própria vítima realiza as operações maliciosas, o que permite contornar proteções e mecanismos de segurança.
Neste caso, o ataque é baseado num falso CAPTCHA. Quando uma vítima visita um site comprometido, ela recebe uma mensagem falsa de verificação CAPTCHA que pede que ela prove que é humana. As instruções na tela dizem para usar um atalho de teclado e copiar/colar o conteúdo no terminal. O que a vítima não sabe é que o site copiou discretamente um comando malicioso para a área de transferência. Seguindo essas instruções, ele executa um script que instala um primeiro malware.
As campanhas atuais dependem fortemente de CastleLoaderum vírus carregador. Sua função é infectar o computador do alvo, evitando a detecção por soluções de segurança, e então baixar e iniciar o Lumma Stealer. Muito discreto, o malware roda inteiramente na memória, quase não deixando rastros no disco rígido da máquina. O “A sobreposição de infraestrutura conecta as operações de CastleLoader e LummaStealer, sugerindo serviços compartilhados ou coordenação dentro de um ecossistema mais amplo”explica o Bitdefender.
Dados na mira de Lumma Stealer
Depois que o Lumma for instalado, ele invadirá senhas salvas em navegadores, cookies de login, códigos de autenticação de dois fatores, carteiras de criptomoedas, documentos pessoais, gerenciadores de senhas, contas Steam e Discord, conteúdo da área de transferência e configurações de VPN. Para se espalhar na Internet, a dupla CastleLoader e Lumma Stealer usa software pirata, videogames, filmes falsos, ferramentas profissionais gratuitas, mods no Steam, arquivos compartilhados no Discord e arquivos zip com armadilhas. Eles servem como isca para atrair internautas para um site preso.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
Bitdefender