Desenmascarando la campaña de Lumma Stealer

Lumma Stealer, un potente malware de robo de información, surgió en 2022, apuntando a datos sensibles como contraseñas almacenadas en navegadores, billeteras de criptomonedas y tokens de 2FA. Se propaga a través de campañas de phishing y descargas maliciosas, representando riesgos significativos para individuos y organizaciones en el panorama de la ciberseguridad.

Forcepoint ha identificado una campaña distintiva de Lumma Stealer que aprovecha un sofisticado mecanismo de entrega basado en URL para desplegar el malware. Esta campaña integra múltiples pasos, comenzando con URLs incrustadas en archivos PDF y seguidas por una serie de URLs dropper. Estas técnicas destacan un nivel avanzado de ofuscación, diseñado para evadir la detección mientras engañan a los usuarios para que ejecuten inadvertidamente cargas maliciosas.

Una característica destacada de la campaña es la inclusión de un elemento dinámico: una contraseña única que se genera para cada archivo de archivo descargado. Este comportamiento añade otra capa de complejidad, haciendo que la detección y el análisis tradicionales basados en firmas sean más difíciles. También refleja la creciente adaptabilidad de los actores de amenazas detrás de malware como Lumma Stealer, quienes refinan continuamente sus métodos de entrega para superar las soluciones de seguridad.

La cadena de entrega de archivos de la campaña resalta su diseño intrincado: comienza con una URL que conduce a un archivo PDF, que contiene otra URL. Esta cadena progresa a través de varias URLs intermedias antes de entregar finalmente un archivo comprimido protegido por contraseña. Dentro de este archivo se encuentra la carga ejecutable que inicia la infección del malware. Esta secuencia elaborada no solo demuestra la sofisticación técnica de la amenaza, sino que también subraya la importancia de defensas de ciberseguridad robustas para detectar y mitigar ataques tan evasivos.

Fig. 1 - Cadena de ataque de Lumma

Etapa 1: Acceso inicial – URLs maliciosas a través de infraestructura legítima

La campaña de Lumma Stealer se inicia con una URL estratégicamente diseñada que lleva al usuario a un archivo PDF. A simple vista, tanto la URL como el documento parecen benignos, reduciendo efectivamente la sospecha y eludiendo la detección inicial. Los atacantes aprovechan la credibilidad de servicios de alojamiento ampliamente reconocidos para hospedar estos PDFs maliciosos, incluyendo plataformas como wsimg.com y cdn-website.com.

Este abuso de infraestructura legítima es una tendencia creciente en el cibercrimen, alineándose con el informe 2025 Future Insights de Forcepoint X-Labs, que predijo un aumento en los atacantes que cooptan servicios confiables para mezclarse con el tráfico normal y evadir la detección. Alojar contenido malicioso en plataformas conocidas no solo aumenta la probabilidad de interacción del usuario, ya que parecen familiares y confiables, sino que también desafía los mecanismos tradicionales de detección basados en reputación de URLs.

Una vez que el usuario accede al PDF, el documento contiene enlaces clicables que los guían sin problemas más profundamente en la cadena de entrega del malware. Esta etapa es crucial para establecer la infección, confiando en la sutileza, familiaridad y confianza para atraer a la víctima.

Ejemplos de patrones de URL maliciosas observadas:

• hxxps://cdn-website[.]com/files/invoice_312456.pdf  
• hxxps://wsimg[.]com/documents/job_offer_details.pdf  

Etapa 2: PDF descargado – Ingeniería social mediante verificación falsa de bot

En la segunda etapa de esta campaña, el atacante entrega un archivo PDF malicioso diseñado para parecerse a una página estándar de "verificación de bot", imitando elementos visuales familiares que implican que el usuario debe verificar que es humano. Esta es una táctica clásica de ingeniería social destinada a explotar la confianza y urgencia del usuario.

Lo que hace que este PDF sea particularmente engañoso es que toda la página es clicable, no solo botones o enlaces específicos. Cualquier interacción del usuario —intencional o accidental— activa un hipervínculo malicioso incrustado, moviendo a la víctima sin problemas a la siguiente etapa de la cadena de ataque.

Una vez hecho clic, el PDF lanza una serie de redirecciones rápidas de URL. Estos saltos atraviesan múltiples dominios intermedios antes de aterrizar finalmente en el sitio que aloja la carga útil real. Esta estrategia de redirección en múltiples capas cumple dos propósitos clave:

• Evasión: Oculta el destino real del enlace, dificultando la detección por herramientas de seguridad.
• Ofuscación: Permite a los atacantes insertar lógica adicional o filtros (por ejemplo, geofencing, filtrado por user-agent) en el camino.
• Aunque el PDF puede parecer una simple verificación CAPTCHA, su verdadera función es mover silenciosamente al usuario más profundamente dentro de la infraestructura maliciosa.

Fig. 2 - Archivo PDF y CAPTCHA falso

Etapa 3: Múltiples redirecciones de URL

Desde la etapa 2, al hacer clic en el CAPTCHA falso del PDF, se sigue una serie de redirecciones. Estas redirecciones incluyen las siguientes URLs antes de llegar a la página final que aloja el archivo malicioso:

Redirected URLs:

• hxxps://lusejoripifofo.robazumuxi.com/fps.php
• hxxps://lusejoripifofo.robazumuxi.com/mgo.php?q=request+for+business+cooperation+sample+letter&s1=onp1p969jcpc
• hxxps://berapt-medii.com/2025/01/14/rewriting-the-rules-innovative-game-mechanics-unveiled/
  utm_source=onp1p969jcpc&utm_term=request%20for%20business%20cooperation%20sample%20letter
  &utm_content=onp1p969jcpc&utm_medium=link
• hxxps://berapt-medii.com/2025/01/14/rewriting-the-rules-innovative-game-mechanics-unveiled/?utm_term=request+for+business+cooperation+sample+letter
  &utm_content=onp1p969jcpc&utm_medium=link&utm_source=cQB8d049103b90000000008066419
  &referer=https%3A%2F%2Flusejoripifofo.robazumuxi.com%2F
• hxxps://media.site34l.cyou/request_for_business_cooperation_sample_letterarchive
  ?c=AO5Z_mfScAUA_YUCAEdCFwASAAAAAAB3 (final page)

Etapa 4: Entrega de carga útil protegida por contraseña dinámica

La cuarta etapa de esta campaña es el elemento más distintivo y complejo de la cadena de infección. En este punto, la URL final proporciona a los usuarios un archivo comprimido descargable, acompañado de una contraseña necesaria para desbloquear su contenido. Este enfoque de protección dinámica hace que la campaña sea excepcionalmente difícil de bloquear o analizar eficazmente.

Dentro del archivo comprimido, los usuarios encuentran un archivo ejecutable grande (.exe) con un tamaño superior a 800 MB, que actúa como la carga útil de Lumma Stealer. Esta etapa viene acompañada de instrucciones explícitas que instan a los usuarios a copiar y pegar la URL del enlace final para descargar el archivo, abrirlo usando la contraseña y luego ejecutar el archivo .exe a través del símbolo del sistema. Al proporcionar instrucciones tan claras, los atacantes aseguran que los usuarios sigan los pasos exactos necesarios para infectar sus sistemas con éxito.

Además, la URL final que aloja el archivo está georrestringida, accesible solo en regiones específicas como Georgia, Rusia y el Cáucaso en Europa del Este y Asia Occidental. Esta restricción puede indicar operaciones dirigidas en estas áreas, reflejando un enfoque estratégico en ciertas demografías o vulnerabilidades regionales.

Fig. 3 - Página final con archivo protegido por contraseña

Fig. 4  - Archivo comprimido con ejecutable grande
 

Above stages describe how the final payload is delivered via multiple URL redirections. Next, we will be having a look at analysis of payload. 

Etapa 5: Análisis del ejecutable:

Tras la descarga exitosa del archivo comprimido protegido por contraseña, se encuentra un archivo ejecutable grande dentro del archivo.
El ejecutable está compilado usando Nullsoft software y no está empaquetado.

Fig. 5 - Información del ejecutable

Al analizar estáticamente el archivo ejecutable, encontramos algunas llamadas a APIs sospechosas que se utilizan para la creación de múltiples archivos en la carpeta temporal. A continuación, se enumeran algunas de ellas:

• CreateDirectoryW – Crea un directorio en \\Appdata\\Local\\Temp
• CopyFileW – Copia el contenido de un archivo a otro
• GetTempPathW – Obtiene la ruta temporal y modifica/escribe datos
• CreateFileW – Se utiliza para crear un archivo
• ShellExecuteW – Se utiliza para ejecutar comandos a través de la línea de comandos

Fig. 5.1 - CreateFileW utilizado para crear archivos en la carpeta temporal

Fig. 5.2  - Bucle para crear múltiples archivos .accde en la carpeta temporal

Archivos creados en la carpeta \Appdata\Temp:

• Nr.accde
• Champagne.accde
• Do.accde
• Challenging.accde
• Receptors.accde
• Deemed.accde
• Horizontal.accde
• Mars.accde
• Transcription.accde
• Mars.accde.bat

Etapa 6 - Visión General del Archivo .accde

Un archivo .accde es un archivo compilado de Microsoft Access Database, que es una versión de solo lectura del archivo .accdb. Se utiliza principalmente para la distribución, seguridad y protección del código VBA en aplicaciones Access. En esta campaña, el atacante utiliza archivos .accde para alojar código VB malicioso en un formato protegido, dificultando su análisis.

Aquí mostramos información sobre uno de los archivos .accde llamado Mars.accde:

Fig. 6.1 - Mars.accde

Algunas partes de Mars.accde no están cifradas. Contiene lógica VBA compilada, y algunos identificadores de formularios/módulos incrustados permanecen en el binario. Estos pueden ser nombres de tablas, consultas o recursos vinculados que se copian a Mars.accde.bat.

A continuación se muestra la creación de Mars.accde.bat copiando el contenido de Mars.accde y ejecutándolo mediante ShellExecuteW.

Fig. 6.2 - ShellExecuteW utilizado para ejecutar Mars.accde.bat desde la línea de comandos

En un primer vistazo, el archivo .BAT parece estar lleno de valores basura, pero al observarlo más de cerca, se ven algunos parámetros/nombres tomados de archivos .accde compilados de Microsoft Access.

Estos archivos .accde se combinan para formar un ejecutable compilado con AutoIT, Alexander.com, que es un cargador de archivos AutoIT.

Etapa 7 - Funcionamiento Breve del Script .BAT

• El script escanea términos relacionados con software de seguridad como opssvc (componente de Quick Heal Total Security y Quick Heal antivirus) y wrsa (componente de Webroot Secure Anywhere). Si detecta alguno, retrasa la ejecución mediante el comando ping –n 188, que hace ping al host local 188 veces. Esta técnica se usa comúnmente para evasión de sandbox.
• El script también verifica la presencia de antivirus como Sophos, AVG y Avast.
• Crea un directorio llamado 283528 en AppData\\Local\\Temp para almacenar archivos maliciosos.
• Usando findstr, intenta encontrar el nombre de archivo “Farmer” del ejecutable inicial (compilado con Nullsoft), filtra la cadena “continuity” y guarda el resultado en Alexander.com.
• Luego usa el comando copy /b para fusionar Alexander.com con componentes adicionales del ejecutable Nullsoft: Pocket, Treasure, Dealtime, Apparatus, Sys, Internationally, Dictionaries, entre otros, formando un ejecutable AutoIT.
• Concatena con otros archivos .accde (Receptors, Do, Transcription) para generar el archivo o.a3x, un script AutoIT.
• El script ofrece al usuario una elección usando choice.exe, con valor predeterminado “Y” (sí) y salida automática en 5 segundos. Finalmente, ejecuta Alexander.com, que a su vez ejecuta o.a3x, activando el Lumma Stealer basado en AutoIT.

Fig. 7.1 - Comandos y funciones del script batch

Fig. 7.2 - Ejecución de Alexander.com desde el script batch

Etapa 8: Análisis del Script AutoIT

Durante el análisis del payload final Alexander.com, observamos que ejecuta el script o.a3x, un script compilado con AutoIT. La presencia de “AU3!EA06” indica que está compilado con AutoIT.

 Fig. 8.1 - Script AutoIT codificado
 

On decompiling the script using AutoIT script de-compiler, we get the decrypted script.

Fig. 8.2 - Script descifrado

Aunque se descifra el script, sigue estando ofuscado. Observaciones:

• Múltiples funciones con el nombre HAWKFREEDOM
• Cadenas ofuscadas como “70}89}81}70}83}...” que pueden ser de-ofuscadas dividiendo y restando un offset para convertirlas en texto legible
• Uso repetido de DllCall, DllStructCreate
• Comportamiento sospechoso como llamadas a APIs: PixelGetColor, DirGetSize, MemGetStats, y especialmente DllCall con parámetros dinámicos Al de-ofuscar el script, se identificaron varias actividades:

On de-obfuscating the script, we found several activities performed by the script. These activities are pointed out below: 

• Evasión de análisis mediante ofuscación y de-ofuscación dinámica de cadenas
• DLL Injection y recolección de información del sistema

Fig. 8.3 - Cadenas ofuscadas con DllCall

 Fig. 8.4 - DllCall tras de-ofuscación
 

• Las funciones DllCall de-ofuscadas muestran contenido como DllCall("kernel32.dll", "WriteProcessMemory", ...).
• Las cadenas se de-ofuscan usando técnicas como Caesar shift y algoritmos de cifrado XOR, convirtiendo valores a caracteres ASCII.
• El script tiene una función Execute que puede ejecutar:
   
  • Otro script AutoIT
  • Un payload compilado
  • Código descifrado de pasos anteriores

Fig. 8.5 - Función Execute en el script

Resumen de Ejecuciones del Script

• El script puede realizar ejecución de shellcode en memoria. Es capaz de inyectarse en su propio proceso (Alexander.com), lo cual se logra mediante el uso repetido de DllCall("kernel32.dll", "ptr", "GetCurrentProcess").
• Ejecución de payload de segunda etapa utilizando la función Execute.
• C2 ofuscado en cadenas cifradas. Desde el script, la función ObjGet() se utiliza para conectarse al C2, que se de-ofusca a una cadena tipo moniker o URL de tipo CLSID, apuntando a un objeto COM remoto o control ActiveX, lo cual es un método fileless bien conocido.
• Ejecución de código desde memoria.

Mientras el archivo (Alexander.com) se está ejecutando, intenta conectarse a sitios como t[.]me, steamcommunity[.]com y servidores C2 como dogalmedical[.]org para realizar exfiltración de datos. Lumma Stealer utiliza TLS para la comunicación con el C2, ya que este protocolo ofrece comunicación cifrada, lo que dificulta la detección de la actividad maliciosa durante la transmisión.

 Fig. 8.6 - Conexiones C2

Etapa 9: Exfiltración de Datos

Tras recibir respuesta del servidor C2, el malware comienza a exfiltrar datos del sistema de la víctima. Los datos recolectados incluyen: Historial de navegación web, extensions, datos de inicio de sesión, caché, archivos sensibles del usuario, datos de Telegram, clientes de correo electrónico, carteras de criptomonedas, datos de FTP y clientes remotos.

Fig. 9.1 - Datos del cliente de correo

Fig. 9.2 - Datos de Telegram

Fig. 9.3 - Datos de FTP

Fig.9.4 - Datos de cliente remoto

Fig. 9.5- Datos de carteras cripto

 Fig. 9.6 - Exfiltración de datos 

Conclusión

La campaña de Lumma Stealer pone de manifiesto una estrategia de entrega de malware en capas y en constante evolución, que combina ingeniería social con el abuso de infraestructura legítima para evadir las defensas. Desde plataformas de alojamiento confiables hasta archivos PDF con verificación de bots engañosa y redirecciones en múltiples etapas, cada paso está diseñado para reducir la sospecha mientras avanza la cadena de infección. Las redirecciones en múltiples etapas llevan al usuario a una página final donde se le solicita descargar un archivo comprimido protegido por contraseña. Este archivo contiene un ejecutable de gran tamaño (>800MB). Al ejecutarse, realiza una serie de acciones, incluyendo la creación de archivos .accde en la carpeta \\Appdata\\Local\\Temp, los cuales luego se utilizan para generar un ejecutable compilado con AutoIT junto con un script malicioso .a3x. Este malware, una vez ejecutado en el sistema de la víctima, es capaz de robar datos sensibles del usuario, como credenciales del navegador, datos de clientes FTP y remotos, datos de Telegram y otra información confidencial.

Esta variante se destaca por ir más allá del phishing, proporcionando evidencia concreta de una implantación activa de malware, y revelando Indicadores de Compromiso (IOCs) clave que pueden ayudar en la detección y respuesta. La sofisticación y ejecución de esta campaña subrayan la importancia de la vigilancia, defensas en capas y inteligencia de amenazas en el panorama actual de amenazas.

Declaración de Protección:

• Etapa 3 (Redirección) – URLs bloqueadas que descargan payloads adicionales.
• Etapa 5 (Archivo Dropper) – Los archivos dropper se han añadido a la base de datos de archivos maliciosos de Forcepoint y están bloqueados.
• Etapa 6 (Call Home) – Los servidores C2 están categorizados bajo la categoría de seguridad y bloqueados.

Declaración de Protección NGFW:

• Los archivos PDF maliciosos son bloqueados por el servicio de reputación de archivos GTI, si está habilitado.

IOCs

URLs: 

• hxxps://assets.websitefiles[.]com/65e88a83310831005ea7083a/65f6aedf35a8b452bbe158a8_75842919999.pdf
• hxxps://assets.websitefiles[.]com/65f00a69b7e1e742d39f12df/65f6cf5b7d17b07b89535842_90431402255.pdf
• hxxps://assets.websitefiles[.]com/65f045335158d93fe6402d1b/65f360191df26a6d0d0ddbbc_28378107181.pdf
• hxxps://assets.websitefiles[.]com/660044d3442d6de37d60189f/66315aeb56f180ea022cd0e3_murajivezir.pdf
• hxxps://c2ebbd31-8de7-4bc1-ab8e2718fb224635.filesusr[.]com/ugd/b90ce7_bd17131436604e79a36393ea84e30cce.pdf
• hxxps://cdn.prod.websitefiles[.]com/65e877bca57066ca452b4066/6724547314f143e98b39ca70_19086120525.pdf
• hxxps://cdn.prod.websitefiles[.]com/65f01e96ebd39df85ea7fc0a/67173d78f2e55cdd11ee58f4_48832576661.pdf
• hxxps://cdn.prod.websitefiles[.]com/65ffec4ca5efd4c62c5b80a1/66deb68f647f66428162c921_duwugu.pdf
• hxxps://cdn.prod.websitefiles[.]com/67239106702336343e97a24e/674c14175018931737ea2eff_9678374467.pdf
• hxxps://cdn.prod.websitefiles[.]com/67239106702336343e97a24e/674c14175018931737ea2eff_9678374467.pdf
• hxxps://img1.wsimg[.]com/blobby/go/1bfc168f-d0df-43cb
  a73ed0c80e42fe5c/downloads/formulaire_virement_international_banque_postale.pdf
• hxxps://img1.wsimg[.]com/blobby/go/91a706e9-d066-47d7-89af69535d865c3d/downloads/bokaxulusodibir.pdf
• hxps://img1.wsimg[.]com/blobby/go/af0be9d0-b995-4f2a-8f66-25f04f50db42/downloads/rubetugetafapojopodibom.pdf
• hxxps://img1.wsimg[.]com/blobby/go/f7748e26-2d27-4aa6-89fbb263de90f421/downloads/tilovapexof.pdf
• hxxps://irp.cdn-website[.]com/4683bcc6/files/uploaded/80723380.pdf hxxps://irp.cdn
• website[.]com/a020f79d/files/uploaded/62238594.pdf
• hxxps://jagunafine.weebly[.]com/uploads/1/3/4/3/134363358/koduwebe_ropetow_degodapafumiku.pdf
• hxxps://notapogixunimo.weebly[.]com/uploads/1/3/4/3/134363186/8474e.pdf
• hxxps://trabaja[.]xyz/wpcontent/uploads/2021/09/Empresas-Espanolas-para-trabajar-enArgelia.pdf
• hxxps://uploads.strikinglycdn[.]com/files/b723f54e-c395-4ee8-a471-61584b920b1a/remumajiri.pdf
• hxxps://uploadsssl.webflow[.]com/65f043d4f92470129b4e5799/65f8fea4c897f0bac9dd5202_76924107039.pdf
• hxxps://veszpremkosar[.]hu/_user/file/60055992296.pdf
• hxxps://cdn-website[.]com/files/invoice_312456.pdf  
• hxxps://wsimg[.]com/documents/job_offer_details.pdf
• hxxps://websitefiles[.]com/assets/report-Q1_2025.pdf

Hashes de archivos (SHA1):

• fb5c226719aa7c3cbf1b187e7cc15dd2bfe44581 - PDF
• 04b5c00440171062abaa53f5228ef91ac064bb45 – PDF
• 71ebb6b0f5d669e5e53f07ab283e1028252b3c33– PDF
• bb61645305a9e87f6571c49918391b83022b22ca– PDF
• a00e3a1ecced7d3098a35c83b1adc494fb9fe3d8– PDF
• e32145901e539b4d33212fa4485cca531f521ce5 - ARCHIVE
• ec69088d1409444de60c3c6aba5021194839d7ba – EXE
• d7cd79911d2fbb575777b26ecf32da1d0965291f - .bat
• 2c8ec98431a788f18f1865c7d742deb741a927b3 – a3x 

C2:

• hxxps://econnit[.]digital/tqoi
• hxxps://changeaie[.]top/geps
• hxxps://lonfgshadow[.]live/xawi
• hxxps://liftally[.]top/xasj
• hxxps://nighetwhisper[.]top/lekd
• hxxps://salaccgfa[.]top/gsooz
• hxxps://zestmodp[.]top/zeda
• hxxps://owlflright[.]digital/qopy
• hxxps://4liftally[.]top/xasj
• hxxps://jawdedmirror[.]run/ewqd
• hxxps://dogalmedical[.]org
• hxxps://t[.]me/lolypop343