A meno di un anno dall’operazione internazionale che ne aveva decretato lo smantellamento, LummaStealer torna operativo con una catena di infezione profondamente rinnovata. Il ritorno non è un semplice rebranding, ma una ristrutturazione tattica che introduce CastleLoader come primo stadio critico dell’attacco.
Questa nuova architettura dimostra la capacità dei gruppi MaaS (Malware-as-a-Service) di riorganizzare rapidamente le proprie infrastrutture C2 e i vettori di delivery, capitalizzando sulle lezioni apprese dai precedenti shutdown delle autorità.
L’architettura è ora modulare e multi-stage: CastleLoader agisce da “apripista” avanzato, progettato per eludere sandbox e debugger attraverso controlli ambientali preventivi. Solo dopo aver verificato di trovarsi su un host reale, il loader stabilisce una connessione cifrata per recuperare LummaStealer e iniettarlo direttamente nella memoria di processi di sistemi già attivi, riducendo al minimo l’impronta sul file system.
Il nucleo operativo di LummaStealer è ora caratterizzato da un offuscamento estremamente aggressivo: risoluzione dinamica delle API, assenza di librerie sospette nella IAT, junk code e tecniche di metamorfismo che ostacolano analisi statica ed euristica. L’uso di flussi di controllo indiretti rende inoltre più complesso il rilevamento comportamentale.
Una volta stabilita la persistenza in memoria, LummaStealer attiva moduli di scansione dedicati all’esfiltrazione di asset ad alto valore: il malware interroga i database SQL dei browser per recuperare cookie di sessione (utili per il session hijacking), dati di auto-fill e credenziali salvate. Particolare enfasi viene posta sui cold wallet di criptovalute e sulle estensioni browser per la gestione di asset digitali, dove il malware cerca di esfiltrare chiavi private e seed. I dati vengono poi trasmessi ai server C2 tramite traffico cifrato che simula comunicazioni web legittime, talvolta sfruttando servizi cloud come canale di mascheramento.
Anche la rete C2 è stata riprogettata per evitare singoli punti di fallimento, adottando architetture decentralizzate e domini fast-flux a vita breve. Per i difensori, il contrasto richiede monitoraggio avanzato delle iniezioni in memoria, analisi delle anomalie nel traffico in uscita e soluzioni EDR capaci di correlare eventi sospetti a livello di sistema, oltre a una rigorosa segmentazione dei privilegi utente.
Il caso conferma ancora una volta la resilienza dell’ecosistema cybercriminale: per malware come LummaStealer, lo stop sembra essere solo una pausa strategica.
