LummaStealer volta à ativa e infecta milhares através de jogos piratas

12 fev LummaStealer volta à ativa e infecta milhares através de jogos piratas

Posted at 10:45h in Tech-Pt-br by

Uma campanha massiva de distribuição do LummaStealer, um dos malwares mais perigosos para roubo de informações pessoais, foi descoberta por pesquisadores da Bitdefender. A operação conseguiu se recuperar após uma megaoperação policial em maio de 2025 que derrubou mais de 2.300 domínios usados pelos criminosos.

Antes de entender como o ataque funciona, é importante compreender o que é o LummaStealer. Trata-se de um software malicioso projetado especificamente para roubar informações sensíveis do computador da vítima, operando sob um modelo chamado “malware-as-a-service” (malware como serviço), que funciona quase como um streaming para o crime.

Nesse esquema, os desenvolvedores alugam o software para criminosos ao redor do mundo, que pagam entre US$ 250 e US$ 20.000 por diferentes níveis de acesso e funcionalidades.

O LummaStealer surgiu em fóruns russos no final de 2022 e rapidamente se tornou um dos infostealers mais utilizados globalmente. Segundo a pesquisa, após a operação policial de 2025, os operadores simplesmente migraram para provedores de hospedagem “à prova de balas”, empresas que se recusam a cooperar com autoridades e protegem criminosos.

Como funciona o ataque

O ataque começa com sites falsos criados pelos criminosos, que prometem software pirata, jogos crackeados ou filmes recém-lançados. A vítima, ao buscar por versões gratuitas desses conteúdos, baixa um arquivo executável que contém o CastleLoader, um componente de software que carrega programas na memória, responsável por transportar e instalar o LummaStealer.

O CastleLoader funciona como um veículo de entrega disfarçado. Ele executa todo seu código diretamente na memória do computador, sem gravar muitos arquivos suspeitos no disco rígido, dificultando enormemente sua detecção por antivírus tradicionais.

A vítima recebe arquivos com nomes convincentes como “Need for Speed Hot Pursuit Setup.exe” ou “Mission Impossible Final Reckoning 2025 720p.mp4.exe”. Neste último caso, a extensão dupla engana: embora apareça “.mp4” (vídeo), o sistema operacional executa o “.exe” (programa malicioso).

Após ser executado, o malware realiza uma série de verificações para garantir que não está sendo analisado por pesquisadores de segurança. Procura por processos específicos como “vmtoolsd.exe” (VMware) ou “VboxTray.exe” (VirtualBox). Se detectar que está em um ambiente de análise, simplesmente se fecha.

ClickFix é nova arma dos criminosos

Uma das táticas usadas pelos criminosos e identificadas pela Bitdefender é chamada ClickFix. A vítima visita um site que exibe uma mensagem falsa dizendo “Clique aqui para provar que você não é um robô” ou “Verificação necessária”. As instruções pedem que a vítima pressione as teclas Win+R (que abre a janela “Executar” do Windows), cole algo e pressione Enter.

O que a vítima não percebe é que o site já colocou um comando PowerShell malicioso na área de transferência do computador. Quando cola e executa, está literalmente executando código malicioso diretamente no sistema, sem precisar baixar arquivo nenhum.

Estabelecimento de persistência

Uma vez instalado, o malware cria vários arquivos em locais específicos do sistema, como na pasta AppData local da vítima. Cria também atalhos na pasta de inicialização do Windows, garantindo que seja executado toda vez que o computador ligar.

Interessantemente, os pesquisadores descobriram que o código verifica quais antivírus estão instalados (como Avast, AVG, Bitdefender, Sophos) e ajusta os nomes e locais dos arquivos baseado nisso, uma técnica desenvolvida através de testes para evitar detecção.

O CastleLoader usa dois processos sequenciais de descriptografia para revelar o payload final. Primeiro aplica uma operação XOR (operação matemática de criptografia) com uma chave específica. O resultado passa por um segundo XOR com outra chave, gerando um buffer comprimido no formato LZNT1. Este buffer é então descomprimido usando uma função do próprio Windows, revelando finalmente o arquivo executável do LummaStealer.

Artefato DNS não intencional expõe campanhas

Os pesquisadores da Bitdefender descobriram uma falha não intencional no CastleLoader que permite rastrear infecções. O malware faz uma tentativa de ping para um domínio inexistente com formato específico: uma string aleatória repetida duas vezes, como “aabbccddee.aabbccddee”.

Isso gera uma solicitação DNS que falha, mas deixa um rastro detectável. Foi assim que a Bitdefender conseguiu identificar centenas de amostras desta campanha e rastrear sua distribuição global.

O que o LummaStealer rouba

Uma vez em execução, o malware vasculha o sistema metodicamente em busca de informações valiosas. Senhas salvas em navegadores como Chrome, Firefox e Edge são extraídas de seus bancos de dados locais. Cookies de sessão, pequenos arquivos que mantêm a vítima logada em sites, são roubados, permitindo que atacantes acessem contas sem precisar da senha.

Documentos pessoais em formatos .docx, .pdf e outros são capturados, incluindo contratos, documentos de identidade, registros médicos e informações financeiras. Carteiras de criptomoedas de Bitcoin, Ethereum e outras, incluindo extensões de navegador como MetaMask e Coinbase, são alvos prioritários.

Gerenciadores de senhas como KeePass são especialmente valiosos para os criminosos, pois contêm todas as senhas da vítima em um único lugar. Tokens de autenticação de dois fatores e códigos de backup também são roubados, permitindo que atacantes contornem esta camada adicional de segurança.

O malware ainda captura credenciais e ferramentas de acesso remoto como AnyDesk, configurações de email e FTP, além de tirar capturas de tela do computador da vítima e monitorar tudo que é copiado para a área de transferência.

Distribuição global e impacto

A pesquisa mostrou que a Índia é o país mais afetado, seguido pelos Estados Unidos e Europa. Durante um mês de análise, entre 12 de dezembro e 12 de janeiro, foram observadas infecções ativas nestas regiões. No entanto, como o LummaStealer opera como serviço, criminosos diferentes podem mirar países diferentes a qualquer momento.

Consequências graves para privacidade

O impacto vai muito além do roubo inicial. Com credenciais roubadas, atacantes podem sequestrar contas de email, redes sociais e bancos diretamente. Documentos pessoais permitem roubo de identidade e abertura de contas fraudulentas. Acesso a contas bancárias e carteiras de criptomoedas resulta em fraude financeira direta.

Em casos envolvendo conteúdo adulto como isca, os criminosos podem tentar extorsão, ameaçando expor informações privadas ou hábitos de navegação a menos que a vítima pague resgate. O email comprometido da vítima também pode ser usado para enviar malware para contatos, perpetuando o ciclo de infecção.

Como se proteger

Para evitar ser vítima no ressurgimento desse malware, é possível tomar algumas precauções.

Os pesquisadores recomendam nunca baixar software, jogos ou mídia de fontes não oficiais;Qualquer site que peça para executar comandos manualmente no PowerShell ou prompt de comando deve ser considerado malicioso imediatamente;Se houver suspeita de infecção, é crucial trocar imediatamente todas as senhas, especialmente de email e serviços financeiros, e invalidar sessões ativas quando possível;Em muitos casos, reinstalar completamente o sistema operacional é a única forma de garantir que o computador está limpo;Para organizações, a Bitdefender recomenda investir em educação dos funcionários sobre técnicas de engenharia social, monitorar comportamentos anômalos de autenticação e impor autenticação multifator em todos os serviços.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.