# Lumma Stealer > Tipo: **infostealer MaaS** - S1213 - [MITRE ATT&CK](https://attack.mitre.org/software/S1213) > [!danger] Infostealer MaaS Mais Ativo de 2024-2025 - CISA Advisory e Disrupcao em Maio 2025 > O Lumma Stealer (LummaC2) e um infostealer como Servico (MaaS) ativo desde 2022 e identificado pelo CISA como ameaça prioritaria em maio de 2025. Opera com subscricoes a partir de USD 250/mes, exfiltrando credenciais de browsers, cookies de sessao, carteiras crypto e dados corporativos. Usado por grupos de ransomware como vetor de acesso inicial. A infraestrutura foi parcialmente desmantelada em operação internacional em maio de 2025. ## Visão Geral [[s1213-lumma-stealer|Lumma Stealer]] (também chamado LummaC2 e LummaC) e um **infostealer como Servico (MaaS)** de origem russa ativo desde julho de 2022, rastreado pelo MITRE como **S1213**. Desenvolvido pelo operador conhecido como "Shamel", e vendido em mercados underground com modelo de subscricao: planos mensais a partir de USD 250, com opcoes de USD 1.000/mes e um pagamento único de USD 20.000 para acesso ao código-fonte. O Lumma se distingue de infostealers mais simples pela **sofisticacao das técnicas de entrega e evasão**: falsos CAPTCHAs que executam PowerShell via clipboard (ClickFix), impersonacao de marcas conhecidas como Booking.com e GitHub, e bypass ativo do **Application-Bound Encryption (ABE)** do Chrome, que o Google implementou para proteger cookies. Quando o Google lancou o ABE em 2024, o Lumma foi um dos primeiros a adaptar técnicas para contornar a proteção. Em maio de 2025, uma **operação conjunta do FBI, Europol, Microsoft e outros** desmontou a infraestrutura do Lumma - removendo o malware de 394.000 sistemas Windows infectados. Entretanto, o modelo MaaS permite que os operadores reconstruam infraestrutura rapidamente. **Plataformas:** Windows ## Como Funciona 1. **Entrega múltiplos vetores:** Phishing impersonando marcas conhecidas ([[t1566-002-spearphishing-link|T1566.002]]), malvertising em resultados de busca, sites de software pirata (warez), pacotes npm/PyPI maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]) 2. **ClickFix (CAPTCHA falso):** Pagina web exibe CAPTCHA falso com instrucoes para abrir `Win+R` e colar conteudo do clipboard - o JavaScript copia um comando PowerShell ofuscado ao clipboard. O usuario executa involuntariamente o payload ([[t1059-001-powershell|T1059.001]]) 3. **Execução via MSHTA:** O payload e frequentemente executado via `mshta.exe` com HTML Application ([[t1218-005-mshta|T1218.005]]) ou carregado via scripts ofuscados ([[t1027-obfuscated-files-or-information|T1027]]) 4. **Anti-análise e evasão:** Verifica ambiente de sandbox/debugger ([[t1622-debugger-evasion|T1622]]), detecta maquinas virtuais via artefatos de hardware, adiciona delays temporais 5. **Exfiltração de credenciais:** Rouba senhas e historico de browsers Chrome/Firefox/Edge ([[t1555-003-credentials-from-web-browsers|T1555.003]]), cookies de sessao ([[t1539-steal-web-session-cookie|T1539]]) incluindo tokens autenticados, extensoes de carteira crypto ([[t1176-001-browser-extensions|T1176.001]]) 6. **Envio incremental:** Em vez de coletar tudo e enviar de uma vez, o Lumma envia dados em partes via webhook ou C2 ([[t1567-004-exfiltration-over-webhook|T1567.004]]) para garantir exfiltração mesmo se interrompido ```mermaid graph TB A["ClickFix CAPTCHA falso<br/>Win+R clipboard PowerShell<br/>T1059.001 - Execução involuntaria"] --> B["Payload Lumma<br/>MSHTA / scripts ofuscados<br/>T1218.005 + T1027"] B --> C["Anti-análise<br/>Sandbox / debugger check<br/>T1622 - VM detection"] C --> D["Roubo de browsers<br/>Chrome / Firefox / Edge<br/>T1555.003 senhas + cookies"] D --> E["Roubo sessoes<br/>Cookies autenticados<br/>T1539 - token theft"] E --> F["Extensoes crypto<br/>MetaMask / Phantom<br/>T1176.001 carteiras"] F --> G["Exfiltração incremental<br/>Webhook / C2<br/>T1567.004 dados em partes"] classDef delivery fill:#e74c3c,color:#fff classDef payload fill:#e67e22,color:#fff classDef evasion fill:#8e44ad,color:#fff classDef steal fill:#2980b9,color:#fff classDef session fill:#27ae60,color:#fff classDef crypto fill:#c0392b,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B payload class C evasion class D steal class E session class F crypto class G exfil ``` ## Timeline ```mermaid timeline title Lumma Stealer - Evolução Jul 2022 : Primeiras amostras Lumma identificadas : Vendido em forums underground russos 2023 : Crescimento rapido do ecossistema MaaS : ClickFix / CAPTCHA falso como vetor primario Ján 2024 : Bypass do Application-Bound Encryption Chrome : Lumma primeiro a contornar proteção de cookies Out 2024 : CISA alerta para uso massivo de LummaC2 : 394k sistemas infectados estimado Mai 2025 : Operação conjunta FBI + Europol + Microsoft : Infraestrutura derrubada - dominos confiscados Mai 2025 : CISA Advisory AA25-141B publicado : Grupos de ransomware já usavam Lumma como IAB ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing com anexo malicioso | | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Link em phishing / malvertising / warez | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Arquivo executado pelo usuario | | Execution | [[t1059-001-powershell\|T1059.001]] | ClickFix - PowerShell via clipboard | | Execution | [[t1218-005-mshta\|T1218.005]] | HTML Application via mshta.exe | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Scripts fortemente ofuscados | | Defense Evasion | [[t1622-debugger-evasion\|T1622]] | Anti-sandbox e anti-debugger | | Credential Access | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas de browsers | | Credential Access | [[t1539-steal-web-session-cookie\|T1539]] | Roubo de cookies de sessao autenticada | | Collection | [[t1176-001-browser-extensions\|T1176.001]] | Dados de extensoes de carteiras crypto | | Exfiltration | [[t1567-004-exfiltration-over-webhook\|T1567.004]] | Envio incremental via webhook | ## Relevância LATAM/Brasil O [[s1213-lumma-stealer|Lumma Stealer]] e amplamente distribuido no Brasil por dois vetores principais. O primeiro e o **software pirata** - o Brasil tem uma das maiores taxas de uso de software nao-licenciado na América Latina, e sites de warez brasileiros sao vetores documentados de distribuição de infostealers como o Lumma. O segundo e a **impersonacao de marcas locais**: campanhas adaptadas para o Brasil imitam plataformas populares como Netflix, Shopee, Mercado Livre e jogos online. O impacto direto e grave: credenciais de **internet banking**, sistemas corporativos e contas de redes sociais roubadas pelo Lumma aparecem nos principais mercados de dados furtados. Alem disso, o Lumma foi documentado como vetor de acesso inicial para grupos de ransomware como [[interlock-ransomware|Interlock]], que tem alvos no Brasil. A técnica ClickFix e especialmente perigosa porque contorna filtros de email e antivirus tradicionais. **Setores impactados:** [[financial|financeiro]] - [[technology|tecnologia]] - [[education|educação]] - PMEs - crypto traders ## Detecção - Monitorar comandos PowerShell executados via `Win+R` (processo pai `explorer.exe` -> `cmd.exe` -> `powershell.exe`) com strings em base64 - Detectar acesso de processos externos ao arquivo `Login Data` do Chrome (`%APPDATA%\Local\Google\Chrome\User Data\Default\Login Data`) - Alertar para `mshta.exe` executando HTA de URLs externas ou caminhos temporarios - Monitorar exfiltração via webhooks conhecidos (Discord, Telegram) por processos nao relacionados ```sigma title: Lumma Stealer ClickFix PowerShell Execution status: stable logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\cmd.exe' - '\explorer.exe' Image|endswith: '\powershell.exe' CommandLine|contains: - '-enc ' - '-EncodedCommand' - 'FromBase64String' filter_admin: User|contains: 'SYSTEM' condition: selection and not filter_admin level: high tags: - attack.execution - attack.t1059.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1213) MITRE ATT&CK - S1213 Lumma Stealer (2025) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b) CISA/FBI - AA25-141B LummaC2 Malware Advisory (2025) - [3](https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/) Microsoft Security Blog - Lumma Stealer Delivery Techniques (2025) - [4](https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha) Qualys - Unmasking Lumma Stealer Fake CAPTCHA (2024) - [5](https://redcanary.com/threat-detection-report/threats/lummac2/) Red Canary - LummaC2 Threat Detection Report (2025)