ESET, en colaboración con Microsoft, BitSight, Lumen, Cloudflare, CleanDNS y GMO Registry, ha llevado a cabo una operación global destinada a interrumpir Lumma Stealer, un conocido malware como servicio (MaaS) que actúa como infostealer. Este esfuerzo coordinado se enfocó en desmantelar la infraestructura de Lumma Stealer, incluyendo todos los servidores de comando y control (C&C) identificados en el último año, lo que ha dejado la red de exfiltración inoperativa.
La labor de ESET fue crucial, ya que proporcionó análisis técnicos y estadísticas, extrajo datos vitales de decenas de miles de muestras de malware y ofreció una visión general sobre el ecosistema del Lumma Stealer. Esta familia de malware se ha destacado por ser una de las más activas en el ecosistema de cibercriminalidad durante los últimos dos años, aprovechando las credenciales robadas como un commodity muy apreciado en el mercado negro digital.
Los desarrolladores de Lumma Stealer habían estado constantemente actualizando el código del malware y manteniendo su infraestructura de exfiltración. Desde junio de 2024 hasta mayo de 2025, se registraron 3,353 dominios C&C únicos, mostrando un promedio de aproximadamente 74 nuevos dominios cada semana. Esta evolución subraya la amenaza significativa que representa Lumma Stealer y la complejidad del esfuerzo de interrupción llevado a cabo por ESET y sus aliados.
Con el concepto de malware como servicio, Lumma Stealer permite a sus afiliados pagar una tarifa mensual para acceder a las últimas versiones del malware y a la infraestructura necesaria para la exfiltración de datos. Las tarifas de suscripción varían entre 250 y 1,000 dólares estadounidenses al mes, con características y herramientas de evasión que aumentan en función del nivel de suscripción. Además, los operadores han creado un mercado en Telegram para que los afiliados puedan vender datos robados sin intermediarios.
ESET también ha documentado detalladamente las técnicas de ofuscación utilizadas por Lumma Stealer, que dificultan su análisis. Estas incluyen la ofuscación del flujo de control, el uso de cadenas de texto encriptadas y la resolución de API en tiempo de ejecución, lo que complica enormemente los esfuerzos de detección y mitigación.
La operación de interrupción, liderada por Microsoft, tiene como objetivo apoderarse de todos los dominios C&C conocidos de Lumma Stealer, inhabilitando su infraestructura de exfiltración. ESET continuará monitorizando otras amenazas de malware mientras mantiene la vigilancia sobre la actividad de Lumma Stealer tras esta significativa operación de disrupción.
Fuente: WeLiveSecurity by eSet.
