Neste episódio de CTRL+SHIFT+SEC, mergulhamos fundo para desvendar o Lumma Stealer (também conhecido como LummaC2), um infame Malware-as-a-Service (MaaS) que se tornou uma séria ameaça no submundo digital.

Explore connosco como este infostealer opera, focando-se em exfiltrar credenciais, carteiras de criptomoedas, cookies e outros dados sensíveis de máquinas infetadas. Descubra que os dados roubados, chamados "logs", alimentam um mercado clandestino onde outros criminosos podem comprar credenciais lucrativas usando criptomoeda, facilitando uma vasta gama de atividades criminosas a jusante, incluindo fraude financeira, roubo de identidade e violações empresariais que podem levar a ransomware.

Analisamos as táticas de infeção, que se baseiam principalmente em campanhas de engenharia social que levam os utilizadores a descarregar e executar o malware, frequentemente através de websites comprometidos ou anúncios maliciosos, usando técnicas como o "ClickFix" ou sendo entregues via redes pay-per-install (PPI) ou vendedores de tráfego. O Lumma Stealer é frequentemente empacotado com versões pirata de software popular, e os seus operadores investem ativamente em evadir a deteção por soluções antivírus.

Compreenda como o Lumma Stealer funciona por trás das cortinas, utilizando um painel administrativo e plataformas como o Telegram para os seus negócios. Ameaças como o Lumma Stealer abusaram da infraestrutura de fornecedores de serviços, incluindo a Cloudflare, para ocultar os endereços IP de origem dos seus servidores de comando e controlo (C2).

O ponto central deste episódio é a operação coordenada de disrupção que visou esta infraestrutura criminosa. Liderada pela Microsoft e envolvendo parceiros da indústria (como a Cloudflare) e agências de aplicação da lei como o Departamento de Justiça dos EUA, o Centro Europeu de Cibercrime da Europol (EC3) e o Centro de Controlo de Cibercrime do Japão (JC3), esta ação teve como objetivo negar aos operadores do Lumma acesso ao seu painel de controlo, mercado de dados roubados e infraestrutura de Internet.

Desvendamos os passos desta operação, desde a sinalização e suspensão de contas até à implementação de páginas de aviso intersticiais com verificação Turnstile para impedir o bypass pelo malware, e a coordenação do takedown dos domínios maliciosos com múltiplos registos para garantir que os criminosos não pudessem simplesmente recuperar o controlo. O objetivo? Impor custos operacionais e financeiros aos operadores e aos seus clientes, forçando-os a reconstruir os seus serviços noutra infraestrutura.

Este episódio é essencial para entender a ameaça que infostealers como o Lumma Stealer representam e como a colaboração entre a indústria e o governo é crucial para desmantelar estes ecossistemas criminosos.

Sintonize para uma análise aprofundada sobre a anatomia do Lumma Stealer e os bastidores da operação global que procurou derrubá-lo.

CTRL+SHIFT+SEC. Pressione. Ouça. Comande.