# Lumma Stealer - O Infostealer MaaS Mais Prolífico do Mundo > **PARCIALMENTE DISRUPTADO (mai/2025) / RESSURGINDO | Infostealer MaaS | Windows | Global** - Lumma Stealer (LummaC2) é o infostealer mais amplamente utilizado no mundo, comercializado como Malware-as-a-Service por um operador russo conhecido como "Shamel" desde 2022. Em maio de 2025, Microsoft, DOJ, FBI e Europol desmantelaram ~2.300 domínios de infraestrutura e identificaram 394.000+ PCs infectados em apenas dois meses. Apesar da operação, o malware ressurgiu em junho/julho de 2025 com táticas mais furtivas. ## Visão Geral **Lumma Stealer** (também conhecido como **LummaC2** ou **Water Kurita** pelo Trend Micro) é um infostealer profissional desenvolvido pelo operador russo "Shamel" e comercializado como plataforma MaaS desde o final de 2022. O malware rouba credenciais de navegadores, carteiras de criptomoedas, tokens VPN/RDP e dados de aplicativos de autenticação, exfiltrando tudo via HTTP POST criptografado para servidores C2. A plataforma oferece tiers de assinatura estruturados como um SaaS legítimo - de US$ 250/mês (tier básico) a US$ 20.000 (acesso ao código fonte). Em novembro de 2023, Shamel declarou ter cerca de 400 clientes ativos. O malware era usado por grupos de alto perfil como o [[octo-tempest|Octo Tempest (Scattered Spider)]], [[angry-likho|Angry Likho]] e [[coralraider|CoralRaider]]. | Campo | Detalhe | |-------|---------| | **Tipo** | Infostealer / MaaS | | **Desenvolvedor** | "Shamel" - operador russo identificado pelo Microsoft/DOJ | | **Linguagem** | C/C++ com empacotamento NSIS/AutoIt | | **Primeira observação** | Final de 2022 | | **Status** | Parcialmente disruptado (mai/2025) - ressurgindo | | **Custo MaaS** | US$ 250 - US$ 1.000/mês; código-fonte: US$ 20.000 | | **Escala** | 394.000+ PCs em 2 meses; 1,8 mi de hosts/ano (Flashpoint) | | **Tracking** | Microsoft (Storm-1567), Trend Micro (Water Kurita) | ## Capacidades Técnicas ### Roubo de Credenciais - **Navegadores Chromium e Firefox**: senhas, cookies, dados de formulários e chaves de sessão via [[t1555-003-credentials-from-web-browsers|T1555.003]] - **Carteiras de criptomoedas**: MetaMask, Exodus, Ledger, Trezor, Phantom, Gnosis Safe, Binance, Uniswap, Ethereum - **VPN e RDP**: credenciais de clientes AnyConnect, NordVPN, OpenVPN, Remote Desktop - **Aplicativos 2FA**: tokens de aplicativos de autenticação - **Seeds de carteiras crypto**: frases de recuperação que permitem roubo total de fundos ### Evasão e Persistência - **Process hollowing**: injeção de código em processos legítimos do Windows via [[t1055-012-process-hollowing|T1055.012]] - **Ofuscação NSIS/AutoIt**: empacotamento que dificulta análise estática - **AMSI bypass**: contorna o Antimalware Scan Interface do Windows - **Limpeza de artefatos**: remove logs e modifica timestamps via [[t1070-indicator-removal|T1070]] - **Proxy Cloudflare**: todos os servidores C2 ocultados atrás da infraestrutura Cloudflare ### Vetores de Distribuição (2024-2025) - **CAPTCHAs falsos paste-and-run**: páginas falsas de verificação CAPTCHA que convencem a vítima a colar e executar um comando malicioso no terminal - **Malvertising**: anúncios patrocinados em mecanismos de busca redirecionando para sites com downloads maliciosos - **Software pirata/cracked**: jogos, aplicativos pagos com trojan embutido - **Phishing Booking.com** (março 2025): campanha impersonando agência de viagens detectada pelo Microsoft Threat Intelligence - **Spear-phishing**: e-mails direcionados com anexos maliciosos ## Attack Flow ```mermaid graph TB A["📧 Distribuição<br/>CAPTCHA falso / pirata<br/>Malvertising / phishing"] A --> B["💥 Execução payload<br/>PowerShell T1059.001<br/>NSIS/AutoIt desofusca T1140"] B --> C["🔧 Instalacao stealth<br/>Process hollowing T1055.012<br/>Impair defenses T1562"] C --> D["🔍 Coleta massiva<br/>Browsers T1555.003<br/>Crypto wallets + VPN + 2FA"] D --> E["📡 Exfiltração ZIP<br/>HTTP POST via C2 Cloudflare<br/>Indicator removal T1070"] E --> F["💀 Pos-exploração<br/>Credenciais vendidas MaaS<br/>Ransomware / BEC / fraude"] classDef delivery fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef install fill:#3498db,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A delivery class B exploit class C install class D collect class E exfil class F impact ``` ## Timeline ```mermaid timeline title Lumma Stealer - Linha do Tempo 2022 : Primeiras amostras em fóruns russos como MaaS 2023-11 : Shamel afirma ter 400 clientes ativos (entrevista g0njxa) 2024-Q2 : 21.000+ listagens de logs em fóruns dark web (71% crescimento YoY) 2024 : Flashpoint registra 1.8 mi de hosts infectados 2025-03 : Campanha Booking.com com Lumma detectada pelo Microsoft TI 2025-03 a 05 : 394.000+ PCs Windows infectados identificados pela Microsoft 2025-05-13 : Microsoft DCU obtém ordem judicial - apreensão de 2.300 domínios 2025-05-19 : DOJ/FBI apreendem 5 domínios de painel de controle 2025-05-21 : Europol confirma disrupcao - Microsoft anuncia operação publica 2025-05-21 : FBI assume canal Telegram do Lumma com logo "atras das grades" 2025-06 a 07 : Lumma ressurge com campanhas mais furtivas (Trend Micro) ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Phishing com links para sites maliciosos | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Execução de installer malicioso pelo usuario | | Execução | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell para download e desofuscacao | | Evasão | [[t1055-012-process-hollowing\|T1055.012]] | Injecao de código em processos legítimos | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Empacotamento NSIS/AutoIt | | Evasão | [[t1140-deobfuscatedecode-files-or-information\|T1140]] | Desofuscacao em tempo de execução | | Evasão | [[t1562-impair-defenses\|T1562]] | Desabilitacao de ferramentas de segurança | | Evasão | [[t1070-indicator-removal\|T1070]] | Limpeza de logs e artefatos | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Dump de senhas e cookies de navegadores | ## Operação de Takedown (Maio 2025) Em maio de 2025, a Microsoft liderou a maior operação coordenada contra um infostealer MaaS na historia: ### Participantes - **Microsoft DCU** - acao civil, ordem judicial (Distrito Norte da Georgia), sinkholing de 1.300+ dominios - **DOJ / FBI** - apreensao da estrutura central de comando, 5 dominios de painel, canal Telegram - **Europol EC3** - coordenacao em paises europeus com infraestrutura Lumma - **Jápan JC3** - disrupcao de infraestrutura na Asia - **Parceiros privados**: ESET, Bitsight, Lumen, Cloudflare, CleanDNS, GMO Registry ### Resultados da Operação - **2.300 dominios** apreendidos ou bloqueados (backbone do C2 Lumma) - **1.300 dominios** redirecionados para sinkholes da Microsoft - **394.000+ PCs** infectados identificados (jánela 16 mar - 16 mai 2025) - **5 dominios de painel** apreendidos pelo DOJ/FBI (interface de administracao dos afiliados) - Canal Telegram do Lumma assumido pelo FBI com mensagem aos assinantes - Comúnicação entre malware e vitimas **cortada** ### Resposta dos Operadores - Em 20 mai, operadores tentaram criar 3 novos dominios - apreendidos no dia 21 - Desenvolvedor confirmou no fórum XSS que ~2.500 dominios foram apreendidos - Afirmou que lei nao confiscou servidor fisico - utilizado exploit em iDRAC para formatar discos - Afirmou que lei criou pagina de phishing para coletar IPs e acessar cameras dos afiliados - Em jun/jul 2025: ressurgimento com novas campanhas mais furtivas sem Cloudflare (Trend Micro) ## Relevância LATAM e Brasil O Lumma Stealer tem presenca especialmente significativa no Brasil: 1. **Brasil no epicentro das infeccoes**: O TechCrunch relatou que os 394.000+ PCs infectados estavam "mainly in Brazil, Europe, and the United States" - Brasil e mencionado explicitamente como um dos tres principais paises com vitimas. 2. **Mercado crypto brasileiro**: Com o Brasil sendo o maior mercado de criptomoedas da América Latina, o módulo de roubo de carteiras do Lumma representa risco direto para usuarios brasileiros. Seeds de carteiras crypto sao o ativo mais valioso roubado. 3. **Software pirata - fator LATAM**: O Brasil tem alta prevalencia de uso de software pirata e cracked, principal vetor de distribuição do Lumma. Sites brasileiros de warez e trackers torrent sao vetores documentados. 4. **CAPTCHA falso paste-and-run**: Esta técnica e amplamente documentada em campanhas direcionadas a usuarios brasileiros - paginas fraudulentas em portugues com instrucoes para colar comandos no terminal Windows. 5. **Lumma como precursor de ransomware**: O [[octo-tempest|Octo Tempest]] e outros grupos usam Lumma para roubo inicial de credenciais antes de deploy de ransomware - um vetor que coloca organizacoes brasileiras em risco. ## Detecção - Monitorar acesso ao banco de dados `Login Data` do Chrome e `logins.json` do Firefox por processos nao relacionados aos proprios navegadores (principal TTP do Lumma) - Detectar process hollowing: criação de processos suspensos seguida de escrita de memoria e retomada, especialmente por instaladores NSIS ou AutoIt executados por usuarios - Alertar sobre HTTP POST com arquivos ZIP para dominios registrados ha menos de 30 dias (padrao de exfiltração do Lumma) - Monitorar execução de scripts PowerShell iniciados por instaladores de software de terceiros - Identificar acesso simultaneo a arquivos de perfil de múltiplos navegadores pelo mesmo processo - Regras YARA: "LummaC2 Detection" por RussianPanda; detecção como `Win32/Lumma` em soluções AV ```sigma title: LummaC2 Infostealer Browser Credential Theft status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\Chrome\User Data\Default\Login Data' - '\Firefox\Profiles\' - 'logins.json' - '\Cookies' filter: Image|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' condition: selection and not filter falsepositives: - Password managers accessing browser credentials level: critical tags: - attack.credential-access - attack.t1555.003 - code/distill ``` ## Relacoes - [[octo-tempest|Octo Tempest (Scattered Spider)]] - grupo de alto perfil que usa Lumma como ferramenta inicial - [[angry-likho|Angry Likho]] - APT que usa Lumma em campanhas de spear-phishing - [[coralraider|CoralRaider]] - grupo ameaça que usa Lumma em campanhas APAC/global - [[s1025-amadey|Amadey]] - loader frequentemente co-deployado com Lumma para entrega - [[s1240-redline-stealer|RedLine Stealer]] - infostealer concorrente no mesmo ecossistema MaaS - [[vidar-stealer|Vidar Stealer]] - outro infostealer MaaS com perfil similar - [[financial|financeiro]], [[technology|tecnologia]] - setores primariamente atingidos - [[s1038-dcrat|DCRat]] - outro MaaS de baixo custo frequentemente co-deployado em campanhas similares ## Referências - [1] [Microsoft Blog - Disrupting Lumma Stealer (mai/2025)](https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/) - [2] [DOJ - Justice Department Seizes Domains Behind LummaC2 (mai/2025)](https://www.justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation) - [3] [The Hacker News - FBI and Europol Disrupt Lumma Stealer (mai/2025)](https://thehackernews.com/2025/05/fbi-and-europol-disrupt-lumma-stealer.html) - [4] [Trend Micro - Lumma Stealer Returns with Stealthier Methods (jul/2025)](https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html) - [5] [SOCRadar - Disrupting Lumma Stealer: Analysis](https://socradar.io/disrupting-lumma-stealer-malware-microsoft-leads-global-action/) - [6] [Check Point - Lumma Infostealer Down but Not Out (mai/2025)](https://blog.checkpoint.com/security/lumma-infostealer-down-but-not-out/) - [7] [TechCrunch - Lumma found on 394,000 Windows PCs (mai/2025)](https://techcrunch.com/2025/05/22/microsoft-says-lumma-password-stealer-malware-found-on-394000-windows-pcs/) - [8] [NetManageIT - The Case of LummaC2 v4.0](https://blog.netmanageit.com/content/files/2023/09/Report-The-Case-of-LummaC2-v4.0.pdf)