{"id":1729846,"date":"2025-05-22T10:41:08","date_gmt":"2025-05-22T10:41:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-fbi-y-europol-interrumpen-la-red-de-malware-lumma-stealer-vinculada-a-10-millones-de-infecciones\/"},"modified":"2025-05-22T10:41:13","modified_gmt":"2025-05-22T10:41:13","slug":"el-fbi-y-europol-interrumpen-la-red-de-malware-lumma-stealer-vinculada-a-10-millones-de-infecciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-fbi-y-europol-interrumpen-la-red-de-malware-lumma-stealer-vinculada-a-10-millones-de-infecciones\/","title":{"rendered":"El FBI y Europol interrumpen la red de malware Lumma Stealer vinculada a 10 millones de infecciones"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Una operaci\u00f3n en expansi\u00f3n realizada por las agencias globales de aplicaci\u00f3n de la ley y un consorcio de empresas del sector privado ha interrumpido la infraestructura en l\u00ednea asociada con un robador de informaci\u00f3n de productos b\u00e1sicos conocido como Lumma (tambi\u00e9n conocido como Lummac o Lummac2), tomando 2.300 dominios que actuaron como el comando y el control (C2) Backbone to Commanding Windows Systems.<\/p>\n

“El malware como LumMac2 se implementa para robar informaci\u00f3n confidencial, como las credenciales de inicio de sesi\u00f3n de los usuarios de millones de v\u00edctimas para facilitar una gran cantidad de delitos, incluidas las transferencias bancarias fraudulentas y el robo de criptomonedas”, el Departamento de Justicia de los Estados Unidos (DOJ) dicho<\/a> en una declaraci\u00f3n.<\/p>\n

La infraestructura confiscada se ha utilizado para atacar a millones en todo el mundo a trav\u00e9s de afiliados y otros ciberdelincuentes. Se estima que Lumma Stealer, activo desde finales de 2022, se ha utilizado en al menos 1,7 millones de instancias para robar informaci\u00f3n, como datos del navegador, informaci\u00f3n de enfoque autom\u00e1tico, credenciales de inicio de sesi\u00f3n y frases de semillas de criptomonedas. La Oficina Federal de Investigaci\u00f3n de los Estados Unidos (FBI) ha atribuido alrededor de 10 millones de infecciones a Lumma.<\/p>\n

La incautaci\u00f3n impacta a cinco dominios que sirven como paneles de inicio de sesi\u00f3n para los administradores de Lumma y los clientes que pagan a los clientes para que desplegaran el malware, evitando as\u00ed que comprometan las computadoras y roben informaci\u00f3n de v\u00edctimas.<\/p>\n

“Entre el 16 de marzo y el 16 de mayo de 2025, Microsoft identific\u00f3 m\u00e1s de 394,000 computadoras de Windows a nivel mundial por el malware Lumma”, Europol dicho<\/a>agregar la operaci\u00f3n corta las comunicaciones entre la herramienta maliciosa y las v\u00edctimas. La agencia describi\u00f3 a Lumma como la “amenaza de infantes de infantes m\u00e1s significativa del mundo”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La Unidad de Delitos Digitales (DCU) de Microsoft, en asociaci\u00f3n con otras compa\u00f1\u00edas de ciberseguridad, Bitsight, Lumen, Cloudflare, CleanDNS y GMO Registry, dijo que elimin\u00f3 aproximadamente 2.300 dominios maliciosos que formaron la columna vertebral de la infraestructura de Lumma.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Propagaci\u00f3n de infecciones de malware de Lumma Stealer en dispositivos Windows<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

“El desarrollador principal de Lumma tiene su sede en Rusia y pasa por el alias de Internet ‘Shamel'”, Steven Masada, Asesor General Asistente de DCU, dicho<\/a>. “Shamel comercializa diferentes niveles de servicio para Lumma a trav\u00e9s de Telegram y otros foros de chat en idioma ruso. Dependiendo de qu\u00e9 servicio sea una compra cibercriminal, pueden crear sus propias versiones del malware, agregar herramientas para ocultarlo y distribuirlo, y rastrear la informaci\u00f3n robada a trav\u00e9s de un portal en l\u00ednea”.<\/p>\n

El robador, comercializado bajo un modelo de malware como servicio (MAAS), est\u00e1 disponible en una suscripci\u00f3n por cualquier lugar de entre $ 250 y $ 1,000. El desarrollador tambi\u00e9n ofrece un plan de $ 20,000 que otorga a los clientes acceso al c\u00f3digo fuente y al derecho de venderlo a otros actores penales.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Recuentos semanales de nuevos dominios C2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

“Los niveles inferiores incluyen opciones b\u00e1sicas de filtrado y descarga de registros, mientras que los niveles m\u00e1s altos ofrecen recopilaci\u00f3n de datos personalizados, herramientas de evasi\u00f3n y acceso temprano a nuevas caracter\u00edsticas”, ESET dicho<\/a>. “El plan m\u00e1s caro enfatiza el sigilo y la adaptabilidad, ofreciendo una generaci\u00f3n de construcci\u00f3n \u00fanica y una detecci\u00f3n reducida”.<\/p>\n

Con los a\u00f1os, Lumma se ha convertido en una amenaza notoria, entregada a trav\u00e9s de varios vectores de distribuci\u00f3n, incluido el m\u00e9todo ClickFix cada vez m\u00e1s popular. El fabricante de Windows, que est\u00e1 rastreando al actor de amenazas detr\u00e1s del robador bajo el nombre de Storm-2477, dijo que su infraestructura de distribuci\u00f3n es tanto “din\u00e1mica y resistente”, aprovechando una combinaci\u00f3n de phishing, malvertici\u00f3n, esquemas de descarga, abuso de plataformas confiables y sistemas de distribuci\u00f3n de tr\u00e1fico como Prometeo. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Mecanismo de selecci\u00f3n de Lumma C2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Cato Networks, en un informe publicado el mi\u00e9rcoles, revel\u00f3 que los presuntos actores de amenazas rusas est\u00e1n aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de la infraestructura de Oracle Cloud (OCI) y el almacenamiento de objetos de escamas para alojar p\u00e1ginas falsas de recaptcha que utilizan se\u00f1uelos de estilo ClickFix para enga\u00f1ar a los usuarios en descargar el Stealer Lumma.<\/p>\n

“La reciente campa\u00f1a que aprovecha el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basa en m\u00e9todos anteriores, introduciendo nuevos mecanismos de entrega destinados a evadir la detecci\u00f3n y dirigirse a usuarios t\u00e9cnicamente competentes”, investigadores Guile Domingo, Guy Waizel y Tomer Agayev dicho<\/a>.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Flujo de ataque para ClickFix que conduce a Lumma Stealer usando Prometheus TDS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Algunos de los aspectos notables del malware est\u00e1n a continuaci\u00f3n –<\/p>\n