Archivo - February 6, 2025, Canada: In this photo illustration, the Malware Alert is seen displayed on a smartphone screen.- Europa Press/Contacto/Thomas Fuller - Archivo
MADRID, 12 Feb. (Portaltic/EP) -
La operación internacional que logró desarticular la infraestructura de LummaStealer no ha sido suficiente para frenar a uno de los 'malware' más activos del mundo, que ha vuelto a resurgir a gran escala con nuevas técnicas de distribución basadas en ingeniería social y apoyado por infraestructuras como CastleLoader.
Activo desde el año 2022, LummaStealer es un 'malware' que permite a los ciberdelincuentes robar contraseñas, datos bancarios, tarjetas de crédito y monederos de criptomonedas, y que se utiliza como un 'malware as a service' (MaaS), vendiéndose a través de foros clandestinos.
Durante todos sus años activos, este 'malware' ha sido el responsable de ataques a nivel global, afectando a "cientos de miles" de ordenadores Windows, incluyendo a Europa y España, con consecuencias como la interrupción de servicios, extorsiones y vaciado de cuentas.
Por tanto, se consolidó como uno de los ladrones de información más utilizados, en parte, respaldado por un gran ecosistema de afiliados y una infraestructura de distribución en constante adaptación.
Sin embargo, en mayo del pasado año, una actuación policial apoyada por autoridades como Europol, socios de la industria y Microsoft, consiguió desmantelar la columna vertebral de la infraestructura de LummaStealer, suspendiendo y bloqueando su funcionamiento.
Como resultado, el Departamento de Justicia estadounidense también incautó la estructura del mando central de Lumma, interrumpiendo así su actividad en los mercados en los que se vendía el 'malware' a otros ciberdelincuentes. De la misma forma, el Centro Europeo de Ciberdelincuencia (EC3) y el Centro de Control de la Ciberdelincuencia de Japón (JC3), también suspendieron la infraestructura local de Lumma.
Sin embargo, cabe destacar que, tras los esfuerzos por interrumpirlo, la operación no lo desmanteló por completo, ya que las operaciones de LummaStealer migraron rápidamente a nuevos proveedores de alojamiento, lo que refleja la resiliencia de este grupo de operaciones.
EL REGRESO DE LUMMASTEALER
Ahora, pese a esta operación policial, la actividad del grupo LummaStealer, considerado como uno de los 'malwares' más prolíficos del mundo, ha vuelto a producirse a gran escala, reconstruyendo su infraestructura y adaptando sus técnicas de distribución para reanudar su propagación global.
Así lo ha recogido la compañía de ciberseguridad Bitdefender en una nueva investigación, en la que han detallado que, como han podido comprobar, han observado un aumento considerable en la actividad de LummaStealer y, esta vez, el 'malware' se distribuye principalmente a través de campañas de ingeniería social y no mediante 'exploits'.
Concretamente, los expertos han identificado que, con este regreso, los actores maliciosos han optado por acudir a técnicas como el uso de CAPTCHA falsos -conocida como 'ClickFix'-, así como descargas fraudulentas de juegos y contenidos multimedia, como películas recién estrenadas, abusando de plataformas confiables. De esta forma el modus operandi de las campañas de 'malware' se basa en que los usuarios ejecuten archivos infectados sin saberlo.
CASTLELOADER EN EL NÚCLEO
Además de todo ello, Bitdefender también ha señalado que, como eje de muchas de las nuevas campañas analizadas, han hallado el uso de CastleLoader, un cargador sofisticado de 'malware' que se ejecuta por capas y utiliza "ejecución en memoria y una fuerte ofuscación para entregar la carga maliciosa y evadir la detección".
De esta forma, los actores maliciosos utilizan CastleLoader como mecanismo de entrega central para los ataque, ya que permite que el 'malware' se propague a través de cadenas de distribución.
Asimismo, los expertos en ciberseguridad también han hallado existe "cierta superposición" de infraestructura entre CastleLoader y LummaStealer. Esto sugiere que los equipos de ciberdelincuentes que los desarrollan están trabajando de forma coordinada o, al menos, que "comparten proveedores de servicios".
Por tanto, desde Bitdefender han alertado de este nuevo repunte en LummaStealer, que puede tener un impacto significativo, como ya ha demostrado en sus años activos, dado que permite el robo de credenciales y puede derivar en toma de control de cuentas, fraude financiero, robo de identidad y extorsión.
"Los usuarios deben evitar descargar software, juegos o contenido multimedia de fuentes no confiables o no oficiales, especialmente si el contenido se anuncia como pirateado, gratuito o exclusivo", ha subrayado la compañía, al tiempo que ha advertido que, cualquier sitio web que indique a los usuarios la ejecución manual de comandos, especialmente PowerShell y utilidades de línea de comandos, "debe considerarse malicioso por defecto".
Últimas noticias sobre estos temas
Contenido patrocinado
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
