ESET partecipa all'operazione globale per interrompere Lumma Stealer
ESET ha collaborato con Microsoft , BitSight , Lumen , Cloudflare , CleanDNS e GMO Registry in un'operazione di interruzione globale contro Lumma Stealer, un famigerato infostealer malware-as-a-service (MaaS). L'operazione ha preso di mira l'infrastruttura di Lumma Stealer con tutti i server C&C noti nell'ultimo anno, rendendo la rete di esfiltrazione, o gran parte di essa, non operativa.
Contributo dirompentePunti chiave di questo articolo del blog:
- ESET ha preso parte a un'operazione globale coordinata per smantellare Lumma Stealer.
- ESET ha fornito analisi tecniche e informazioni statistiche ed ha estratto dati essenziali da decine di migliaia di campioni di malware.
- Forniamo una panoramica dell'ecosistema MaaS di Lumma Stealer.
- Forniamo inoltre un'analisi tecnica e una panoramica dell'evoluzione delle principali proprietà statiche e dinamiche di Lumma Stealer, che sono state fondamentali per lo sforzo di disruption.
I sistemi automatizzati di ESET hanno elaborato decine di migliaia di campioni di Lumma Stealer, analizzandoli per estrarne elementi chiave, come server C&C e identificatori di affiliazione. Questo ci ha permesso di monitorare costantemente l'attività di Lumma Stealer, tracciare gli aggiornamenti di sviluppo, gli affiliati del cluster e altro ancora.
Le famiglie di malware infostealer, come Lumma Stealer, sono in genere solo un presagio di un futuro attacco molto più devastante. Le credenziali raccolte sono una merce preziosa nel sottobosco della criminalità informatica, vendute dai broker di accesso iniziale a vari altri criminali informatici, inclusi gli affiliati del ransomware. Lumma Stealer è stato uno degli infostealer più diffusi negli ultimi due anni e la telemetria ESET (vedi Figura 1) conferma che non ha lasciato indenne alcuna parte del mondo.
Gli sviluppatori di Lumma Stealer hanno sviluppato e mantenuto attivamente il loro malware. Abbiamo notato regolarmente aggiornamenti del codice che vanno da piccole correzioni di bug alla sostituzione completa degli algoritmi di crittografia delle stringhe e modifiche al protocollo di rete. Gli operatori hanno anche mantenuto attivamente l'infrastruttura di rete di esfiltrazione condivisa. Tra il 17 giugno 2024 e il 1 ° maggio 2025, abbiamo osservato un totale di 3.353 domini C&C univoci, con una media di circa 74 nuovi domini emergenti ogni settimana, inclusi aggiornamenti occasionali ai risolutori di dead-drop basati su Telegram (vedi Figura 2). Discuteremo i dettagli dell'infrastruttura di rete più avanti nel post del blog.
Questa continua evoluzione sottolinea la significativa minaccia rappresentata da Lumma Stealer e sottolinea l'importanza e la complessità dello sforzo di interruzione.
SfondoNegli ultimi due anni, Lumma Stealer (noto anche comeLummaC o LummaC2 ) è emerso come uno degli infostealer più attivi nell'ecosistema della criminalità informatica, diventando uno strumento preferito dai criminali informatici grazie al suo sviluppo attivo di funzionalità malware e alla vendita della sua infrastruttura come servizio.
Malware come servizioLumma Stealer adotta il concetto di malware come servizio (MaaS), in cui gli affiliati pagano una quota mensile, in base al loro livello, per ricevere le build di malware più recenti e l'infrastruttura di rete necessaria per l'esfiltrazione dei dati. Gli affiliati hanno accesso a un pannello di gestione con un'interfaccia intuitiva, da cui possono scaricare i dati esfiltrati e le credenziali raccolte.
Il modello di abbonamento a livelli varia da 250 a 1.000 USD al mese, con funzionalità sempre più sofisticate. I livelli inferiori includono opzioni di filtraggio di base e download dei log, mentre i livelli superiori offrono raccolta dati personalizzata, strumenti di elusione e accesso anticipato a nuove funzionalità. Il piano più costoso punta su furtività e adattabilità, offrendo una generazione di build esclusiva e un rilevamento ridotto.
Gli operatori di Lumma Stealer hanno anche creato un marketplace Telegram con un sistema di valutazione che consente agli affiliati di vendere dati rubati senza intermediari. Il marketplace è stato ampiamente documentato nella ricerca di Cybereason. Inoltre, mantengono la documentazione pubblica del pannello di gestione per gli affiliati e condividono periodicamente aggiornamenti e correzioni sui forum di hacking, come mostrato nella Figura 3.
La documentazione aperta non solo aiuta gli affiliati con meno esperienza a utilizzare il servizio anti-malware, ma fornisce anche informazioni preziose per i ricercatori di sicurezza. Gli sviluppatori si concentrano sulla creazione di build di malware, sul data pipeline e sulla manutenzione dell'infrastruttura, mentre gli affiliati sono responsabili della distribuzione del malware. Queste informazioni, unite alla popolarità del servizio, si traducono in un'ampia varietà di vettori di compromissione.
I metodi di distribuzione più comuni includono phishing, software craccato e altri downloader di malware, tra cui SmokeLoader, DarkGate, Amadey, Vidar e altri. Tra i metodi di phishing più diffusi rientrano ClickFix o pagine web CAPTCHA false , forum fraudolenti con software craccato , falsi repository GitHub , link fraudolenti sui forum di Reddit e molti altri.
Analisi tecnicaSono già state scritte numerose analisi pubbliche su Lumma Stealer e i suoi vettori di compromesso. Qui, tuttavia, ci concentreremo sugli aspetti rilevanti per la disruption. In questa sezione, introdurremo brevemente le principali proprietà statiche e dinamiche che abbiamo attivamente estratto da Lumma Stealer.
Proprietà statiche di Lumma StealerNei campioni del malware Lumma Stealer sono incorporate diverse informazioni. Questo rappresenta naturalmente un bersaglio ideale per l'estrazione automatizzata. Oltre ai dati di interesse più evidenti – i domini del server C&C – i campioni contengono anche stringhe identificative che collegano il campione a un affiliato specifico e a una campagna, e un identificatore opzionale che conduce a una configurazione dinamica personalizzata. Questi identificatori vengono utilizzati nella comunicazione di rete con il server C&C durante l'esfiltrazione dei dati e le richieste di configurazione dinamica. Nelle sezioni seguenti, esamineremo queste proprietà in modo approfondito.
Domini C&COgni campione di Lumma Stealer contiene un elenco di nove domini C&C crittografati. Sebbene i metodi di crittografia si siano evoluti nel tempo, la struttura caratteristica dell'array è rimasta invariata fino al momento della stesura di questo articolo.
Sulla base del versioning interno dei campioni di Lumma Stealer, che è fortemente protetto dall'offuscamento delle stringhe dello stack, sappiamo che fino a gennaio 2025, i domini C&C nei campioni erano protetti da una funzione XOR e dalla codifica Base64 (vedere Figura 4). Quando la stringa codificata in Base64 è stata decodificata, ha rivelato una struttura in cui i primi 32 byte fungevano da chiave XOR e i byte rimanenti contenevano il dominio C&C crittografato.
Nel gennaio 2025, Lumma Stealer ha trasferito la protezione dell'elenco C&C alla crittografia ChaCha20 con una singola chiave hardcoded e un nonce (vedere Figura 5). Questa protezione dell'elenco C&C nei binari di Lumma Stealer è rimasta invariata fino al momento della pubblicazione.
Da giugno 2024, ogni build di Lumma Stealer includeva una nuova funzionalità per ottenere un C&C di backup. Se nessun server C&C nella configurazione statica risponde a Lumma Stealer, il C&C di backup viene estratto da una pagina web fittizia del profilo Steam che funge da risolutore di dead-drop . L'URL del profilo Steam è fortemente protetto nel binario, allo stesso modo della stringa di versione. L'URL del C&C di backup crittografato è impostato nel nome del profilo Steam, come mostrato in Figura 6, e la protezione è un semplice cifrario di Cesare (ROT11).
Nel febbraio 2025, Lumma Stealer ha ricevuto un aggiornamento che includeva una funzionalità per ottenere un nuovo URL C&C primario da un risolutore di dead-drop del canale Telegram. L'URL C&C viene estratto dal campo del titolo del canale Telegram ed è protetto dallo stesso algoritmo del risolutore di dead-drop del profilo Steam. La principale differenza nell'utilizzo dei risolutori di dead-drop dei profili Telegram e Steam è che l'opzione Telegram viene testata per prima, mentre il profilo Steam viene utilizzato come ultima risorsa se non è stata stabilita una comunicazione corretta con i server C&C ottenuti in precedenza (Figura 16).
Inoltre, riteniamo che il dead-drop resolver di Telegram sia disponibile per gli abbonamenti di livello superiore. Questo perché molti campioni non hanno l'URL di Telegram impostato e quindi il malware salta questo metodo.
Identificatore di Lumma StealerOgni campione di Lumma Stealer contiene un identificatore di affiliazione hardcoded univoco, noto come LID. È incorporato in formato testo normale e utilizzato per la comunicazione con i server C&C. Fino a marzo 2025, la stringa del parametro LID seguiva un formato strutturato, delimitato da due trattini (Figura 7). Un'analisi dettagliata della stringa di affiliazione LID è fornita in una prossima sezione.
Sebbene il LID più diffuso osservato durante il nostro monitoraggio inizi con la stringa uz4s1o , il secondo LID più comune, che inizia con LPnhqo , fornisce un esempio migliore per visualizzare la tipica variabilità del LID. Nella nuvola di parole in Figura 8, presentiamo i primi 200 LID raccolti durante il nostro monitoraggio, a partire da LPnhqo .
Tuttavia, all'inizio di marzo 2025, Lumma Stealer è passato all'utilizzo di identificatori esadecimali, denominati internamente UID (vedere Figura 9).
Oltre al parametro LID, gli esempi di Lumma Stealer possono contenere anche un parametro opzionale denominato internamente J. Quando presente, questo parametro è in chiaro e formattato come una stringa esadecimale ASCII a 32 byte (vedere Figura 10). Il parametro J viene utilizzato nella richiesta C&C per la configurazione dinamica con definizioni aggiuntive per l'esfiltrazione. Parleremo della configurazione dinamica più in dettaglio in una sezione successiva.
Se il parametro J è mancante nell'esempio di Lumma Stealer, nella richiesta C&C viene utilizzata una stringa vuota e viene recuperata una configurazione predefinita. A differenza di LID, il parametro J è raramente presente negli esempi di Lumma Stealer. Tuttavia, quando presente, svolge un ruolo cruciale, poiché consente di recuperare una configurazione dinamica che aumenta significativamente le capacità dello stealer, rendendolo uno strumento di esfiltrazione più versatile per gli autori di minacce.
Nel marzo 2025, quando il parametro LID è stato rinominato in UID e il suo formato è stato modificato, il parametro J è stato rinominato in CID, ma senza alcuna modifica al suo formato o alla sua funzione.
Analisi delle proprietà staticheDal nostro monitoraggio a lungo termine e dall'analisi statistica dei parametri LID, riteniamo che il primo segmento del LID identifichi l'affiliato, mentre il secondo segmento distingua le campagne. Sulla base di questo presupposto, è possibile visualizzare i primi 200 identificatori di affiliazione nella Figura 11.
Inoltre, siamo stati in grado di creare una visualizzazione delle attività degli affiliati nell'ultimo anno (vedere Figura 12). Questa visualizzazione evidenzia una settimana di gennaio 2025. Questi tipi di visualizzazioni ci hanno fornito informazioni preziose sui modelli e sui comportamenti dei diversi attori delle minacce. Inoltre, le visualizzazioni rivelano un'infrastruttura C&C condivisa e basata su domini tra la maggior parte degli affiliati di Lumma Stealer. Allo stesso tempo, siamo stati in grado di identificare domini C&C utilizzati meno frequentemente, che sospettiamo siano stati riservati ad affiliati di livello superiore o a campagne più importanti.
Lumma Stealer recupera una configurazione dinamica dal server C&C, che contiene definizioni che specificano cosa analizzare per l'esfiltrazione (vedere Tabella 1). L'obiettivo principale è il furto di dati dalle estensioni del browser web e dai database contenenti password, cookie di sessione, cronologia di navigazione web e dati di compilazione automatica. Oltre ai browser web, si concentra anche sul furto di dati da gestori di password, VPN, client FTP, servizi cloud, applicazioni desktop remoto, client di posta elettronica, wallet di criptovalute e applicazioni per la presa di appunti.
Tabella 1. Campi JSON della configurazione dinamica
| Chiave | Descrizione |
| contro | Versione di configurazione dinamica. |
| se | Opzione per acquisire uno screenshot del computer della vittima a scopo di esfiltrazione. |
| ex | Elenco delle estensioni del browser basate su Chromium da prendere di mira per l'esfiltrazione. Ogni voce è composta da: · L'ID dell'estensione, memorizzato come en . · Il nome dell'estensione, memorizzato come ez . |
| C | Definizione dei file destinati all'esfiltrazione. Le voci più interessanti sono: · Il percorso per la scansione dei file, memorizzato come p . · Il filtro dell'elenco delle estensioni dei file per l'esfiltrazione, memorizzato come m . · La profondità massima di scansione delle cartelle, memorizzata come d . · La dimensione massima dei file per l'esfiltrazione, memorizzata come fs . |
Sebbene non abbiamo riscontrato cambiamenti significativi nelle configurazioni predefinite, questa funzionalità migliora la capacità del malware di eseguire esfiltrazioni mirate (vedere Figura 13). Una panoramica completa dei campi di configurazione è già stata ampiamente documentata in questa ricerca di SpyCloud.
La configurazione è in formato JSON e viene scaricata dal server C&C tramite una richiesta HTTPS POST che include l'identificatore LID, il parametro J facoltativo e una stringa User-Agent hardcoded specifica.
La protezione della configurazione dinamica è cambiata più volte di recente. In precedenza, era protetta allo stesso modo della lista C&C statica, tramite una funzione XOR a 32 byte e la codifica base64. A marzo 2025, la protezione è passata a ChaCha20, dove la chiave e il nonce venivano anteposti alla configurazione crittografata.
È importante seguire la stringa User-Agent, poiché fornirla correttamente è essenziale per ricevere la configurazione dinamica. Nell'aprile 2025, Lumma Stealer ha introdotto un ulteriore livello di offuscamento crittografando i valori JSON utilizzando una funzione XOR a 8 byte (vedere Figura 14).
Questa variante crittografata della configurazione dinamica viene fornita quando viene specificata una stringa User-Agent leggermente aggiornata (vedere Tabella 2).
Tabella 2. Varianti dell'User-Agent
| User-Agent | Descrizione |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/1 1 9.0.0.0 Safari/537.36 | Vecchia stringa User-Agent che genera una variante di configurazione dinamica mostrata nella Figura 13. |
| Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/1 0 9.0.0.0 Safari/537.36 | Nuova stringa User-Agent che genera una variante di configurazione dinamica con crittografia di alcuni valori (Figura 14). |
Oltre a questo approccio di configurazione dinamica, gli esempi di Lumma Stealer contengono comunque istruzioni hardcoded per l'esfiltrazione dei file. Queste includono dati provenienti da applicazioni come Outlook o Thunderbird, informazioni sull'account Steam e token dell'account Discord (vedere questo post sul blog di SpyCloud ). Questa combinazione di configurazioni dinamiche e hardcoded garantisce che Lumma Stealer possa raccogliere efficacemente un'ampia gamma di dati preziosi.
Per riassumere tutti i cambiamenti statici e dinamici menzionati finora, abbiamo creato una cronologia (Figura 15) che evidenzia gli sviluppi più significativi osservati nel malware Lumma Stealer nell'ultimo anno.
Durante il periodo di monitoraggio di Lumma Stealer, tutti i domini C&C estratti hanno sempre portato ai servizi Cloudflare, utilizzati per nascondere la vera infrastruttura C&C di Lumma Stealer. I servizi Cloudflare vengono utilizzati anche per i server C&C localizzati tramite risolutori dead-drop.
Innanzitutto, Lumma Stealer deve ottenere un server C&C attivo. Il meccanismo di questa scelta è illustrato nel diagramma di flusso mostrato nella Figura 16.
Sebbene la richiesta di handshake effettiva al server C&C non sia presente nelle ultime build di Lumma Stealer, vale la pena menzionarla perché è stata una funzionalità del nostro monitoraggio per molto tempo. La richiesta di handshake era una richiesta HTTPS POST contenente act=live e uno User-Agent hardcoded. I server attivi hanno risposto con un messaggio di testo chiaro "ok" .
Richiesta di configurazioneQuando Lumma Stealer identifica un server C&C attivo, ne richiede la configurazione tramite una richiesta HTTPS POST (Figura 17), che include i parametri LID e J come dati. Se il parametro J non è presente nel campione, Lumma Stealer recupera la configurazione predefinita dal server C&C. Questa configurazione specifica cosa analizzare per l'esfiltrazione, consentendo al malware di adattarsi a diversi obiettivi e ambienti.
Esecuzione di carico utile aggiuntivoDopo che Lumma Stealer ha esfiltrato con successo i dati sensibili e raccolto le credenziali, invia un'ultima richiesta HTTPS POST al server C&C, questa volta con un ID hardware aggiuntivo della vittima chiamato hwid . Questa richiesta finale recupera la configurazione di un payload aggiuntivo da eseguire sul computer della vittima. Il payload o un URL da cui effettuare il download fa parte di tale configurazione. Si noti che tale payload non viene sempre fornito.
Lumma Stealer impiega poche ma efficaci tecniche anti-emulazione per rendere l'analisi il più complessa possibile. Queste tecniche sono progettate per eludere il rilevamento e ostacolare gli sforzi degli analisti della sicurezza.
Offuscamento del salto indirettoUna delle principali tecniche di offuscamento utilizzate da Lumma Stealer è l'appiattimento indiretto del flusso di controllo, illustrato nella Figura 18. Questo metodo interrompe efficacemente i blocchi di codice delle funzioni, rendendo quasi impossibile tracciarne la logica. Appiattire il flusso di controllo, il malware offusca le proprie operazioni, complicando il processo di analisi. Per un'analisi dettagliata di questa tecnica e di questi modelli di offuscamento, insieme a una descrizione della soluzione, è possibile fare riferimento a questo articolo completo di Mandiant.
Un'altra tecnica impiegata da Lumma Stealer è l'uso di stringhe di stack crittografate, come illustrato nella Figura 19. Questo metodo nasconde efficacemente i dati binari e molte stringhe importanti nel campione di Lumma Stealer, rendendo difficile l'analisi statica del binario. Inoltre, ogni stringa crittografata ha una propria funzione matematica unica per la decrittazione, aggiungendo un ulteriore livello di complessità al processo di analisi.
In Lumma Stealer, le importazioni vengono risolte in fase di esecuzione. I nomi delle importazioni vengono sottoposti ad hash utilizzando l'algoritmo FNV-1a con ogni build, utilizzando una base di offset personalizzata. Come mostrato nella Figura 20, dal 25 agosto 2024, Lumma Stealer offusca anche i parametri dell'algoritmo hash FNV utilizzando stringhe di stack.
Questa operazione di disruption globale è stata resa possibile dal nostro monitoraggio a lungo termine di Lumma Stealer, di cui abbiamo fornito una panoramica in questo articolo del blog. Abbiamo descritto il modus operandi del gruppo Lumma Stealer e del suo servizio. Inoltre, abbiamo documentato gli importanti identificatori statici e la comunicazione C&C, nonché la loro evoluzione nell'ultimo anno. Infine, abbiamo riassunto le principali tecniche di offuscamento che rendono complessa l'analisi di Lumma Stealer.
L'operazione di interruzione, guidata da Microsoft, mira a sequestrare tutti i domini C&C noti di Lumma Stealer, rendendo inutilizzabile l'infrastruttura di esfiltrazione di Lumma Stealer. ESET continuerà a monitorare altri infostealer, monitorando attentamente l'attività di Lumma Stealer anche dopo questa operazione di interruzione.
IoCPer qualsiasi domanda sulla nostra ricerca pubblicata su WeLiveSecurity, contattateci all'indirizzo [email protected] .
ESET Research offre report e feed di dati privati sull'intelligence APT. Per qualsiasi domanda su questo servizio, visita la pagina ESET Threat Intelligence .
| SHA-1 | Nome del file | Rilevamento | Descrizione |
| 6F94CFAABB19491F2B8E 719D74AD032D4BEB3F29 | AcroRd32.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-06-27. |
| C5D3278284666863D758 7F1B31B06F407C592AC4 | Notion.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-07-14. |
| 5FA1EDC42ABB42D54D98 FEE0D282DA453E200E99 | explorer.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-08-08. |
| 0D744811CF41606DEB41 596119EC7615FFEB0355 | aspnet_regiis .exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-08-25. |
| 2E3D4C2A7C68DE2DD31A 8E0043D9CF7E7E20FDE1 | nslookup.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-09-20. |
| 09734D99A278B3CF59FE82E96EE3019067AF2AC5 | nslookup.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-10-04. |
| 1435D389C72A5855A5D6 655D6299B4D7E78A0127 | BitLockerToGo .exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-11-09. |
| 2CCCEA9E1990D6BC7755 CE5C3B9B0E4C9A8F0B59 | external.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2024-12-23. |
| 658550E697D9499DB782 1CBBBF59FFD39EB59053 | Wemod-Premium-Unlocker-2025 | MSIL/GenKryptik.HGWU | Esempio di Lumma Stealer – Build 2025-01-18. |
| 070A001AC12139CC1238 017D795A2B43AC52770D | khykuQw.exe | Win32/Kryptik.HYUC | Esempio di Lumma Stealer – Build 2025-02-27. |
| 1FD806B1A0425340704F 435CBF916B748801A387 | Start.exe | Win64/Injector.WR | Esempio di Lumma Stealer – Build 2025-03-24. |
| F4840C887CAAFF0D5E07 3600AEC7C96099E32030 | caricatore.exe | Win64/Kryptik.FAZ | Esempio di Lumma Stealer – Build 2025-04-15. |
| 8F58C4A16717176DFE3C D531C7E41BEF8CDF6CFE | Set-up.exe | Win32/Spy.Lumma Stealer.B | Esempio di Lumma Stealer – Build 2025-04-23. |
| Proprietà intellettuale | Dominio | Fornitore di hosting | Visto per la prima volta | Dettagli |
| 172.67.134[.]100 | cooperatvassquaidmew[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 172.67.175[.]165 | crisisrottenyjs[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 188.114.96[.]1 | deadtrainingactioniw[.]xyz tamedgeesy[.]sbs nighetwhisper[.]top | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 172.67.141[.]43 | esuberantetjdkwo[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 188.114.96[.]3 | grandcommonyktsju[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 104.21.92[.]96 | qualificazionejdwko[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 172.67.209[.]200 | sweetcalcutangkdow[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 104.21.49[.]80 | wordingnacturedowo[.]xyz | Cloudflare, Inc. | 27-06-2024 | Server C&C di Lumma Stealer. |
| 188.114.97[.]0 | bigmouthudiop[.]shop froytnewqowv[.]shop locatedblsoqp[.]shop stagedchheiqwo[.]shop | Cloudflare, Inc. | 16/07/2024 | Server C&C di Lumma Stealer. |
| 104.21.19[.]156 | callosallsaospz[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.153[.]40 | indexterityszcoxp[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.192[.]52 | lariatedzugspd[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.213[.]85 | liernessfornicsa[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.137[.]78 | outpointsozp[.]negozio | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.221[.]214 | shepherdlyopzc[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.204[.]158 | unseaffarignsk[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 172.67.178[.]194 | upknittsoappz[.]shop | Cloudflare, Inc. | 18/07/2024 | Server C&C di Lumma Stealer. |
| 188.114.97[.]3 | bassizcellskz[.]shop byteplusx[.]digital sparkiob[.]digital longitudde[.]digital | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 104.21.47[.]141 | celebratioopz[.]shop | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 172.67.158[.]159 | complaintsipzzx[.]shop | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 172.67.204[.]20 | deallerospfosu[.]shop | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 104.21.35[.]48 | negozio di lingua | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 104.21.73[.]43 | negozio di mennyudosirso[.] | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 188.114.97[.]9 | quialitsuzoxm[.]shop | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 172.67.166[.]231 | writerospzm[.]shop | Cloudflare, Inc. | 2024-08-07 | Server C&C di Lumma Stealer. |
| 104.21.16[.]180 | caffegclasiqwp[.]shop | Cloudflare, Inc. | 24/08/2024 | Server C&C di Lumma Stealer. |
| 172.67.146[.]35 | condedqpwqm[.]negozio | Cloudflare, Inc. | 24/08/2024 | Server C&C di Lumma Stealer. |
| N / A | evoliutwoqm[.]negozio | N / A | 24/08/2024 | Server C&C di Lumma Stealer. |
| 188.114.96[.]0 | millyscroqwp[.]shop stamppreewntnq[.]shop advennture[.]top | Cloudflare, Inc. | 24/08/2024 | Server C&C di Lumma Stealer. |
| 104.21.67[.]155 | traineiwnqo[.]shop | Cloudflare, Inc. | 24/08/2024 | Server C&C di Lumma Stealer. |
| 94.140.14[.]33 | achievenmtynwjq[.]shop carrtychaintnyw[.]shop chickerkuso[.]shop metallygaricwo[.]shop milldymarskwom[.]shop opponnentduei[.]shop puredoffustow[.]shop quotamkdsdqo[.]shop bemuzzeki[.]sbs exemplarou[.]sbs exilepolsiy[.]sbs frizzettei[.]sbs invinjurhey[.]sbs isoplethui[.]sbs laddyirekyi[.]sbs wickedneatr[.]sbs | Cloudflare, Inc. | 21/09/2024 | Server C&C di Lumma Stealer. |
| 188.114.97[.]4 | usseorganizedw[.]shop bellflamre[.]click tripfflux[.]world | Cloudflare, Inc. | 24/09/2024 | Server C&C di Lumma Stealer. |
| 104.21.44[.]84 | beerishint[.]sbs | Cloudflare, Inc. | 2024-10-06 | Server C&C di Lumma Stealer. |
| 104.21.64[.]84 | 1212tank.activitydmy[.]icu | Cloudflare, Inc. | 2024-11-12 | Server C&C di Lumma Stealer. |
| 104.21.93[.]246 | brownieyuz[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 172.67.189[.]210 | ducksringjk[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 172.67.146[.]64 | spiegare[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 104.21.90[.]226 | relazionarsij[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 104.21.14[.]17 | ripostabhu[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 172.67.192[.]43 | rottieud[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 188.114.97[.]1 | thinkyyokej[.]sbs | Cloudflare, Inc. | 2024-11-08 | Server C&C di Lumma Stealer. |
| 188.114.97[.]7 | bashfulacido[.]lat tentabatte[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 104.21.86[.]54 | curverpluch[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 104.21.66[.]86 | lev‑tolstoi[.]com | Cloudflare, Inc. | 2024‑12‑17 | Server C&C di Lumma Stealer. |
| 172.64.80[.]1 | manyrestro[.]lat toppyneedus[.]biz | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 188.114.97[.]2 | shapestickyr[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 172.67.192[.]247 | slipperyloo[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 104.105.90[.]131 | steamcommunity[.]com steamcommunity[.]com | Akamai Technologies, Inc. | 27-06-2024 | Risolutori dead-drop del profilo Steam. |
| 172.67.146[.]68 | talkynicer[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| 172.67.184[.]241 | wordyfindy[.]lat | Cloudflare, Inc. | 2024-12-23 | Server C&C di Lumma Stealer. |
| N / A | beevasyeip[.]bond | N / A | 2025-01-22 | Server C&C di Lumma Stealer. |
| N / A | broadecatez[.]bond | N / A | 2025-01-22 | Server C&C di Lumma Stealer. |
| N / A | encirelk[.]cyou | N / A | 28/01/2025 | Server C&C di Lumma Stealer. |
| N / A | legame granystearr[.] | N / A | 2025-01-22 | Server C&C di Lumma Stealer. |
| N / A | quarrelepek[.]bond | N / A | 2025-01-22 | Server C&C di Lumma Stealer. |
| N / A | rockemineu[.]bond | N / A | 28/01/2025 | Server C&C di Lumma Stealer. |
| 104.21.19[.]91 | suggestyuoz[.]biz | Cloudflare, Inc. | 2025-01-22 | Server C&C di Lumma Stealer. |
| N / A | legame tranuqlekper[.] | N / A | 2025-01-22 | Server C&C di Lumma Stealer. |
| 104.21.69[.]194 | codxefusion[.]top | Cloudflare, Inc. | 28-02-2025 | Server C&C di Lumma Stealer. |
| 104.21.80[.]1 | earthsymphzony[.]today climatologfy[.]top | Cloudflare, Inc. | 26-02-2025 | Server C&C di Lumma Stealer. |
| 104.21.88[.]16 | ideesperimentali[.]oggi | Cloudflare, Inc. | 2025-03-01 | Server C&C di Lumma Stealer. |
| 172.67.146[.]181 | gadgethgfub[.]icu | Cloudflare, Inc. | 2025-03-01 | Server C&C di Lumma Stealer. |
| 104.21.48[.]238 | hardrwarehaven[.]run | Cloudflare, Inc. | 28-02-2025 | Server C&C di Lumma Stealer. |
| 104.21.16[.]1 | hardswarehub[.]oggi pixtreev[.]run | Cloudflare, Inc. | 28-02-2025 | Server C&C di Lumma Stealer. |
| 104.21.39[.]95 | quietswstreams[.]life | Cloudflare, Inc. | 26-02-2025 | Server C&C di Lumma Stealer. |
| 172.67.222[.]46 | socialsscesforum[.]icu | Cloudflare, Inc. | 2025-03-03 | Server C&C di Lumma Stealer. |
| 172.67.191[.]187 | techmindzs[.]live | Cloudflare, Inc. | 2025-03-01 | Server C&C di Lumma Stealer. |
| 172.67.214[.]226 | techspherxe[.]top | Cloudflare, Inc. | 2025-03-01 | Server C&C di Lumma Stealer. |
| 104.21.26[.]124 | appgridn[.]live | Cloudflare, Inc. | 24/03/2025 | Server C&C di Lumma Stealer. |
| 172.67.178[.]7 | lunoxorn[.]top | Cloudflare, Inc. | 31-03-2025 | Server C&C di Lumma Stealer. |
| 104.21.47[.]117 | skynetxc[.]live | Cloudflare, Inc. | 24/03/2025 | Server C&C di Lumma Stealer. |
| 104.21.72[.]121 | targett[.]top | Cloudflare, Inc. | 2025-03-20 | Server C&C di Lumma Stealer. |
| 188.114.96[.]2 | travellio[.]shop | Cloudflare, Inc. | 2025-03-20 | Server C&C di Lumma Stealer. |
| 104.21.42[.]7 | changeaie[.]top | Cloudflare, Inc. | 2025-04-08 | Server C&C di Lumma Stealer. |
| 104.21.85[.]126 | clarmodq[.]top | Cloudflare, Inc. | 2025-04-08 | Server C&C di Lumma Stealer. |
| 172.67.161[.]40 | sollevare[.]top | Cloudflare, Inc. | 2025-04-08 | Server C&C di Lumma Stealer. |
| 172.67.176[.]107 | piratewrath[.]run | Cloudflare, Inc. | 17/04/2025 | Server C&C di Lumma Stealer. |
| 172.67.215[.]114 | quilltayle[.]live | Cloudflare, Inc. | 17/04/2025 | Server C&C di Lumma Stealer. |
| 172.67.143[.]12 | salaccgfa[.]top | Cloudflare, Inc. | 2025-04-08 | Server C&C di Lumma Stealer. |
| 104.21.5[.]146 | starofliught[.]top | Cloudflare, Inc. | 17/04/2025 | Server C&C di Lumma Stealer. |
| 104.21.32[.]1 | zestmodp[.]top | Cloudflare, Inc. | 2025-04-08 | Server C&C di Lumma Stealer. |
| 172.67.147[.]123 | equatorf[.]run | Cloudflare, Inc. | 21/04/2025 | Server C&C di Lumma Stealer. |
| 104.21.112[.]1 | emisferoxz[.]top | Cloudflare, Inc. | 21/04/2025 | Server C&C di Lumma Stealer. |
| 104.21.20[.]106 | latitudert[.]live | Cloudflare, Inc. | 21/04/2025 | Server C&C di Lumma Stealer. |
| 172.67.216[.]12 | sectorecoo[.]live | Cloudflare, Inc. | 19-04-2025 | Server C&C di Lumma Stealer. |
Questa tabella è stata realizzata utilizzando la versione 17 del framework MITRE ATT&CK .
| Tattica | ID | Nome | Descrizione |
| Sviluppo delle risorse | T1587.001 | Sviluppare capacità: malware | Gli operatori di Lumma Stealer hanno sviluppato attivamente il loro malware come prodotto per il loro servizio. |
| T1583.001 | Acquisizione infrastruttura: domini | Gli operatori di Lumma Stealer hanno registrato domini per la loro infrastruttura di esfiltrazione. | |
| T1583.006 | Acquisizione infrastruttura: servizi Web | Gli operatori di Lumma Stealer utilizzavano i servizi di Cloudflare per nascondere la propria infrastruttura. Lumma Stealer nascondeva anche i suoi URL C&C in servizi pubblici come profili Steam fittizi o canali Telegram vuoti. | |
| Esecuzione | T1059.003 | Interfaccia della riga di comando: shell dei comandi di Windows | Lumma Stealer esegue cmd.exe per eliminare i file temporanei. |
| T1106 | API nativa | Lumma Stealer esegue una varietà di API Windows, tra cui VirtualAlloc , LoadLibraryA e GetProcAddress . | |
| T1204.001 | Esecuzione utente: collegamento dannoso | Gli operatori di Lumma Stealer offrono una semplice funzionalità di compressione LNK per le loro build di malware. | |
| T1047 | Strumentazione gestione Windows | Lumma Stealer utilizza query WMI per raccogliere informazioni di sistema. | |
| Evasione della difesa | T1622 | Evasione del debugger | Lumma Stealer checks for debugger presence. |
| T1140 | Deobfuscate/Decode Files or Information | Lumma Stealer uses ChaCha20 for C&C list and dynamic config encryption. | |
| T1027.007 | File o informazioni offuscati: risoluzione API dinamica | Lumma Stealer resolves API names at runtime using the FNV-1a hash algorithm. | |
| T1027.013 | Obfuscated Files or Information: Encrypted/Encoded File | Lumma Stealer encrypts strings and important binary data using stack strings or ChaCha20. | |
| Accesso alle credenziali | T1555.003 | Credenziali dagli archivi di password: Credenziali dai browser Web | Lumma Stealer gathers credentials from multiple browsers. |
| T1539 | Steal Web Session Cookie | Lumma Stealer gathers cookies from multiple browsers. | |
| Scoperta | T1217 | Browser Bookmark Discovery | Lumma Stealer checks and collects various information about installed browsers on victims' machines. |
| T1012 | Query Registry | Lumma Stealer queries registry keys to list installed software on victims' machines. | |
| T1057 | Scoperta del processo | Lumma Stealer sends the process list to its C&C server. | |
| T1518 | Software Discovery | Lumma Stealer sends a list of installed software to its C&C server. | |
| T1082 | System Information Discovery | Lumma Stealer sends system information to its C&C server. | |
| T1124 | System Time Discovery | Lumma Stealer sends the current system time and time zone to its C&C server. | |
| Collezione | T1560 | Archive Collected Data | Lumma Stealer compresses gathered data before exfiltration to its C&C server. |
| T1119 | Raccolta automatizzata | Lumma Stealer's exfiltration capabilities are fully automated and based on a configuration file. | |
| T1113 | Cattura dello schermo | Lumma Stealer takes screenshots of victims' machines based on dynamic configuration. | |
| T1005 | Dati dal sistema locale | Lumma Stealer collects local system data from victims' machines. | |
| Comando e controllo | T1071.001 | Protocollo di livello applicativo: protocolli Web | Lumma Stealer uses HTTPS communication with its C&C servers. |
| T1132.001 | Codifica dei dati: codifica standard | Lumma Stealer used base64 encoding for obtaining its configuration from the C&C server. | |
| T1573.001 | Canale crittografato: crittografia simmetrica | Lumma Stealer uses additional ChaCha20 encryption under the HTTPS network protocol. | |
| T1008 | Canali di fallback | Lumma Stealer employs backup dead-drop resolvers in Steam profiles and Telegram channels. | |
| T1102.001 | Web Service: Dead Drop Resolver | Lumma Stealer employs backup dead-drop resolvers in Steam profiles and Telegram channels. | |
| Esfiltrazione | T1020 | Esfiltrazione automatizzata | Lumma Stealer exfiltrates stolen credentials and data over the C&C channel. |
| T1041 | Esfiltrazione attraverso il canale C2 | Lumma Stealer exfiltrates stolen credentials and data over the C&C channel. |
WeLiveSecurity
