Desmascarando a Campanha Lumma Stealer

O Lumma Stealer, um malware poderoso voltado para o roubo de informações, surgiu em 2022, tendo como alvo dados sensíveis como senhas armazenadas em navegadores, carteiras de criptomoedas e tokens de 2FA. Ele se propaga por meio de campanhas de phishing e downloads maliciosos, representando riscos significativos para indivíduos e organizações no cenário da cibersegurança.

A Forcepoint identificou uma campanha distinta do Lumma Stealer que utiliza um mecanismo sofisticado de entrega baseado em URLs para implantar o malware. Essa campanha integra múltiplas etapas, começando com URLs incorporadas em arquivos PDF e seguidas por uma série de URLs de dropper. Essas técnicas evidenciam um nível avançado de ofuscação, projetado para evadir a detecção enquanto engana os usuários a executarem cargas maliciosas inadvertidamente.

Um dos destaques da campanha é a inclusão de um elemento dinâmico: uma senha única gerada para cada arquivo de arquivo compactado baixado. Esse comportamento adiciona uma camada extra de complexidade, tornando a detecção e análise baseadas em assinaturas tradicionais mais difíceis. Isso também reflete a crescente adaptabilidade dos agentes de ameaça por trás de malwares como o Lumma Stealer, que continuamente refinam seus métodos de entrega para superar as soluções de segurança.

A cadeia de entrega de arquivos da campanha destaca seu design intricado: começa com uma URL que leva a um arquivo PDF, que contém outra URL. Essa cadeia progride por várias URLs intermediárias até finalmente entregar um arquivo compactado protegido por senha. Dentro desse arquivo está o executável que inicia a infecção por malware. Essa sequência elaborada não apenas demonstra a sofisticação técnica da ameaça, mas também reforça a importância de defesas robustas de cibersegurança para detectar e mitigar ataques evasivos como esse.

A cadeia de entrega de arquivos da campanha pode ser resumida da seguinte forma:

Fig. 1 - Cadeia de Ataque do Lumma

Estágio 1: Acesso Inicial – URLs Maliciosas via Infraestrutura Legítima

A campanha do Lumma Stealer começa com uma URL estrategicamente criada que leva o usuário a um arquivo PDF. À primeira vista, tanto a URL quanto o documento parecem inofensivos, reduzindo efetivamente a suspeita e contornando a detecção inicial. Os atacantes exploram a credibilidade de serviços de hospedagem amplamente reconhecidos para armazenar esses PDFs maliciosos, incluindo plataformas como wsimg.com e cdn-website.com.

Esse abuso de infraestrutura legítima é uma tendência crescente no cibercrime, alinhando-se com o relatório Forcepoint X-Labs’ 2025 Future Insights, que previu um aumento no uso de serviços confiáveis por atacantes para se camuflarem no tráfego normal e evitarem a detecção. Hospedar conteúdo malicioso em plataformas conhecidas não apenas aumenta a chance de interação do usuário, já que parecem familiares e confiáveis, mas também desafia os mecanismos tradicionais de detecção baseados em reputação de URLs.

Uma vez que o usuário acessa o PDF, o documento contém links clicáveis que o guiam de forma contínua pela cadeia de entrega do malware. Essa etapa é crucial para preparar a infecção, contando com sutileza, familiaridade e confiança para atrair a vítima.

Exemplos de padrões de URLs maliciosas observadas:

• hxxps://cdn-website[.]com/files/invoice_312456.pdf  
• hxxps://wsimg[.]com/documents/job_offer_details.pdf  

Estágio 2: PDF Baixado – Engenharia Social via Falsa Verificação de Bot

No segundo estágio da campanha, o atacante entrega um arquivo PDF malicioso projetado para se assemelhar a uma página padrão de verificação de bot, imitando elementos visuais familiares que sugerem que o usuário deve verificar se é humano. Essa é uma tática clássica de engenharia social, destinada a explorar a confiança e o senso de urgência do usuário.

O que torna esse PDF particularmente enganoso é que toda a página é clicável, não apenas botões ou links específicos. Qualquer interação do usuário — intencional ou acidental — aciona um hyperlink malicioso incorporado, levando a vítima para o próximo estágio da cadeia de ataque.

Ao ser clicado, o PDF inicia uma série de redirecionamentos rápidos de URL. Esses saltos passam por múltiplos domínios intermediários antes de finalmente chegar ao site que hospeda a carga maliciosa. Essa estratégia de redirecionamento em múltiplas camadas serve a dois propósitos principais:

• Evasão: obscurece o destino real do link, dificultando a detecção por ferramentas de segurança.
• Ofuscação: permite que os atacantes insiram lógica adicional ou verificações (por exemplo, geofencing, filtragem por user-agent) ao longo do caminho.

Embora o PDF pareça uma simples verificação de bot, sua verdadeira função é mover silenciosamente o usuário para dentro da infraestrutura maliciosa.

Fig. 2 - Arquivo PDF e falso CAPTCHA

Estágio 3: Múltiplos Redirecionamentos de URL

A partir do estágio 2, ao clicar no falso CAPTCHA no PDF, segue-se uma série de redirecionamentos. Essas redireções passam pelas seguintes URLs antes de chegar à página final que hospeda o arquivo malicioso: URLs redirecionadas:

Redirected URLs:

• hxxps://lusejoripifofo.robazumuxi.com/fps.php
• hxxps://lusejoripifofo.robazumuxi.com/mgo.php?q=request+for+business+cooperation+sample+letter&s1=onp1p969jcpc
• hxxps://berapt-medii.com/2025/01/14/rewriting-the-rules-innovative-game-mechanics-unveiled/
  utm_source=onp1p969jcpc&utm_term=request%20for%20business%20cooperation%20sample%20letter
  &utm_content=onp1p969jcpc&utm_medium=link
• hxxps://berapt-medii.com/2025/01/14/rewriting-the-rules-innovative-game-mechanics-unveiled/?utm_term=request+for+business+cooperation+sample+letter
  &utm_content=onp1p969jcpc&utm_medium=link&utm_source=cQB8d049103b90000000008066419
  &referer=https%3A%2F%2Flusejoripifofo.robazumuxi.com%2F
• hxxps://media.site34l.cyou/request_for_business_cooperation_sample_letterarchive
  ?c=AO5Z_mfScAUA_YUCAEdCFwASAAAAAAB3 (final page)

Estágio 4: Entrega de Payload Protegido por Senha Dinâmica

O quarto estágio desta campanha é o elemento mais distinto e complexo da cadeia de infecção. Neste ponto, a URL final fornece aos usuários um arquivo compactado para download, acompanhado de uma senha necessária para desbloquear seu conteúdo. Essa abordagem de proteção dinâmica torna a campanha excepcionalmente difícil de bloquear ou analisar de forma eficaz.

Dentro do arquivo compactado, os usuários encontram um grande arquivo executável (.exe) com tamanho superior a 800MB, que atua como o payload do Lumma Stealer. Acompanhando essa etapa estão instruções explícitas que orientam os usuários a copiar e colar a URL do link final para baixar o arquivo, abri-lo usando a senha e, em seguida, executar o arquivo .exe via prompt de comando. Ao fornecer orientações tão claras, os atacantes garantem que os usuários sigam exatamente os passos necessários para infectar seus sistemas com sucesso.

Além disso, a URL final que hospeda o arquivo compactado é geofenciada, acessível apenas em regiões específicas como Geórgia, Rússia e a região do Cáucaso da Europa Oriental e Ásia Ocidental. Essa restrição pode indicar operações direcionadas nessas áreas, refletindo um foco estratégico em demografias ou vulnerabilidades regionais. O geofencing adiciona uma camada de complexidade à campanha, sugerindo um planejamento deliberado em sua execução.

Fig. 3 - Página final com arquivo protegido por senha

Fig. 4  - Arquivo compactado contendo executável de grande porte
 

As etapas acima descrevem como o payload final é entregue por meio de múltiplos redirecionamentos de URL. A seguir, analisaremos o payload.

Estágio 5: Análise do Executável

Após o download bem-sucedido do arquivo compactado protegido por senha, encontramos um grande arquivo executável dentro do arquivo.
O executável é compilado usando o software Nullsoft e não está empacotado.

Fig. 5 - Informações do executável

Durante a análise estática do arquivo executável, foram identificadas algumas chamadas de API suspeitas utilizadas para criar múltiplos arquivos na pasta Temp. Abaixo estão algumas delas:

• CreateDirectoryW – Cria um diretório em \\Appdata\\Local\\Temp
• CopyFileW – Copia o conteúdo de um arquivo para outro
• GetTempPathW – Obtém o caminho da pasta Temp e modifica/escreve dados
• CreateFileW – Usada para criar um arquivo
• ShellExecuteW – Usada para executar comandos via linha de comando

Fig. 5.1 - CreateFileW usada para criar arquivos na pasta Temp

Fig. 5.2  - Loop para criação de múltiplos arquivos .accde na pasta Temp

Arquivos criados em \\Appdata\\Temp:

• Nr.accde
• Champagne.accde
• Do.accde
• Challenging.accde
• Receptors.accde
• Deemed.accde
• Horizontal.accde
• Mars.accde
• Transcription.accde
• Mars.accde.bat

Estágio 6 - Visão Geral dos Arquivos .accde

Um arquivo .accde é um banco de dados Microsoft Access compilado, sendo uma versão somente leitura do arquivo .accdb. Ele é usado principalmente para distribuição, segurança e proteção de código VBA em aplicações Access. Nesta campanha, o atacante utiliza arquivos .accde para hospedar códigos VB maliciosos em um formato protegido, dificultando a análise.

Aqui mostramos informações de um dos arquivos .accde chamado Mars.accde.

Fig. 6.1 - Mars.accde

Algumas partes do Mars.accde não estão criptografadas. Ele contém lógica VBA compilada, e alguns identificadores de formulários/módulos permanecem no binário. Estes podem ser nomes de tabelas, queries ou recursos vinculados que são copiados para Mars.accde.bat. Abaixo é mostrada a criação de Mars.accde.bat copiando o conteúdo de Mars.accde e executando-o com ShellExecuteW.

Fig. 6.2 - ShellExecuteW executando Mars.accde.bat via linha de comando

Ao observarmos, vemos que o conteúdo de Mars.accde está sendo copiado para o arquivo Mars.accde.bat. Vamos analisar mais profundamente esse arquivo .bat.

Inicialmente, o arquivo .BAT parece conter valores aleatórios, mas ao analisá-lo mais de perto, vemos parâmetros/nomes extraídos dos arquivos .accde. Esses arquivos são combinados para formar um executável compilado com AutoIT, chamado Alexander.com, que atua como um carregador de arquivos AutoIT.

Estágio 7 - Funcionamento do Script .BAT

O script realiza as seguintes ações:

• Verifica softwares de segurança como opssvc (Quick Heal) e wrsa (Webroot). Se detectados, o script atrasa a execução com o comando ping –n 188, técnica comum de evasão de sandbox.
• Verifica também a presença de antivírus como Sophos, AVG e Avast.
• Cria um diretório chamado 283528 em AppData\\Local\\Temp para armazenar arquivos maliciosos.
• Usa findstr para localizar o nome “Farmer” no executável inicial (compilado com Nullsoft), filtra a string “continuity” e armazena o resultado em Alexander.com.
• Usa copy /b para mesclar Alexander.com com componentes adicionais do executável Nullsoft: Pocket, Treasure, Dealtime, Apparatus, Sys, Internationally, Dictionaries, entre outros, formando um executável AutoIT.
• Concatena com outros arquivos .accde (Receptors, Do, Transcription) para gerar o arquivo o.a3x, um script AutoIT.
• Usa choice.exe para apresentar opções ao usuário. O valor padrão é Y (yes) e o script sai automaticamente após 5 segundos.
• Por fim, executa Alexander.com, que por sua vez executa o.a3x, ativando o Lumma Stealer baseado em AutoIT.

Fig. 7.1 - Comandos e funções do script batch

Fig. 7.2 - Execução de Alexander.com a partir do script batch

Estágio 8 - Análise do Script AutoIT

Durante a análise do payload final Alexander.com (um carregador AutoIT), observou-se que ele executa o script o.a3x, um script AutoIT compilado. A presença de “AU3!EA06” confirma que o script é compilado com AutoIT.

 Fig. 8.1 - Script AutoIT codificado
 

Ao decompilar o script com um decompilador AutoIT, obtemos o script descriptografado.

Fig. 8.2 - Script descriptografado

Mesmo descriptografado, o script ainda está ofuscado. Observações:

• Múltiplas funções com o nome HAWKFREEDOM
• Strings ofuscadas como: “70}89}81}70}83}74}78}70}79}85}66}77}46}83}70}81}83}80} ....” que podem ser de-ofuscadas dividindo e subtraindo um offset para converter em strings legíveis.
• Uso repetido de DllCall, DllStructCreate
• Comportamento suspeito como chamadas a APIs: PixelGetColor, DirGetSize, MemGetStats, e especialmente DllCall com parâmetros dinâmicos, sugerindo interação com o sistema.

Após a de-ofuscação, foram identificadas as seguintes atividades:

• Anti-análise via ofuscação e de-ofuscação dinâmica de strings
• Injeção de DLL e coleta de informações do sistema

Fig. 8.3 - Strings ofuscadas com DllCall

 Fig. 8.4 - DllCall após de-ofuscação
 

• As funções DllCall de-ofuscadas revelam chamadas como: DllCall("kernel32.dll", "WriteProcessMemory", ...)
• Strings são de-ofuscadas com técnicas como Caesar shift e algoritmos XOR, subtraindo valores e convertendo para caracteres ASCII.
• O script possui uma função Execute que pode:
  • Executar outro script AutoIT
  • Executar um payload compilado
  • Descriptografar código de etapas anteriores

Fig. 8.5 - Função Execute no script

Resumo das ações do script:

• Execução de shellcode na memória
• Injeção no próprio processo (Alexander.com) via DllCall("kernel32.dll", "GetCurrentProcess")
• Execução de payload de segunda etapa
• C2 ofuscado em strings criptografadas. A função ObjGet conecta-se ao C2, que se de-ofusca para um moniker ou CLSID apontando para um objeto COM remoto — técnica conhecida de C2 fileless.
• Execução de código diretamente da memória

Durante a execução, tenta se conectar a sites como t[.]me, steamcommunity[.]com e C2s como dogalmedical[.]org para exfiltração de dados. O Lumma Stealer usa TLS para comunicação com C2, dificultando a detecção.br> 

 Fig. 8.6 - Conexões C2

Estágio 9 - Exfiltração de Dados

Após receber a resposta do servidor C2, o malware começa a exfiltrar dados do sistema da vítima. Os dados são coletados na forma de histórico de navegação na web, extensões, dados de login e cache. Ele também tem como alvo arquivos sensíveis do usuário, dados do Telegram, clientes de e-mail, carteiras de criptomoedas, FTP e dados de clientes remotos, entre outros.

Fig. 9.1 - Dados de cliente de e-mail

Fig. 9.2 - Dados do Telegram

Fig. 9.3 - Dados de FTP

Fig.9.4 - Dados de cliente remoto

Fig. 9.5- Dados de carteira de criptomoedas

 Fig. 9.6 - Exfiltração de dados 

Conclusão

A campanha Lumma Stealer destaca uma estratégia de entrega de malware em camadas e em constante evolução, que combina engenharia social com o abuso de infraestrutura legítima para contornar defesas. Desde o uso de plataformas de hospedagem confiáveis até arquivos PDF com falsas verificações de bot e redirecionamentos em múltiplas etapas, cada fase é projetada para reduzir a suspeita enquanto avança na cadeia de infecção. Os redirecionamentos levam o usuário a uma página final onde é solicitado o download de um arquivo compactado protegido por senha. Esse arquivo contém um executável de grande porte (>800MB). Após a execução, ele realiza uma série de ações, incluindo a criação de arquivos .accde na pasta \\Appdata\\Local\\Temp, que são então utilizados para gerar um executável compilado com AutoIT, juntamente com um script malicioso .a3x. Esse malware, uma vez executado no sistema da vítima, é capaz de roubar dados sensíveis do usuário, como credenciais de navegador, dados de FTP e clientes remotos, dados do Telegram e outras informações confidenciais.

Essa variante se destaca por ir além do phishing, apresentando evidências concretas de implantação ativa de malware e revelando Indicadores de Comprometimento (IOCs) que podem auxiliar na detecção e resposta. A sofisticação e execução dessa campanha reforçam a importância da vigilância constante, defesas em camadas e inteligência de ameaças no cenário atual.

Declaração de Proteção:

• Estágio 3 (Redirecionamento): URLs que baixam cargas adicionais foram bloqueadas.
• Estágio 5 (Arquivo Dropper): Os arquivos dropper foram adicionados à base de dados maliciosa da Forcepoint e estão bloqueados.
• Estágio 6 (Call Home): Servidores C2 foram categorizados como maliciosos e estão bloqueados.

Declaração de Proteção NGFW:

• Os arquivos PDF maliciosos são bloqueados pelo serviço de reputação de arquivos GTI, se estiver ativado.

IOCs

URLs: 

• hxxps://assets.websitefiles[.]com/65e88a83310831005ea7083a/65f6aedf35a8b452bbe158a8_75842919999.pdf
• hxxps://assets.websitefiles[.]com/65f00a69b7e1e742d39f12df/65f6cf5b7d17b07b89535842_90431402255.pdf
• hxxps://assets.websitefiles[.]com/65f045335158d93fe6402d1b/65f360191df26a6d0d0ddbbc_28378107181.pdf
• hxxps://assets.websitefiles[.]com/660044d3442d6de37d60189f/66315aeb56f180ea022cd0e3_murajivezir.pdf
• hxxps://c2ebbd31-8de7-4bc1-ab8e2718fb224635.filesusr[.]com/ugd/b90ce7_bd17131436604e79a36393ea84e30cce.pdf
• hxxps://cdn.prod.websitefiles[.]com/65e877bca57066ca452b4066/6724547314f143e98b39ca70_19086120525.pdf
• hxxps://cdn.prod.websitefiles[.]com/65f01e96ebd39df85ea7fc0a/67173d78f2e55cdd11ee58f4_48832576661.pdf
• hxxps://cdn.prod.websitefiles[.]com/65ffec4ca5efd4c62c5b80a1/66deb68f647f66428162c921_duwugu.pdf
• hxxps://cdn.prod.websitefiles[.]com/67239106702336343e97a24e/674c14175018931737ea2eff_9678374467.pdf
• hxxps://cdn.prod.websitefiles[.]com/67239106702336343e97a24e/674c14175018931737ea2eff_9678374467.pdf
• hxxps://img1.wsimg[.]com/blobby/go/1bfc168f-d0df-43cb
  a73ed0c80e42fe5c/downloads/formulaire_virement_international_banque_postale.pdf
• hxxps://img1.wsimg[.]com/blobby/go/91a706e9-d066-47d7-89af69535d865c3d/downloads/bokaxulusodibir.pdf
• hxps://img1.wsimg[.]com/blobby/go/af0be9d0-b995-4f2a-8f66-25f04f50db42/downloads/rubetugetafapojopodibom.pdf
• hxxps://img1.wsimg[.]com/blobby/go/f7748e26-2d27-4aa6-89fbb263de90f421/downloads/tilovapexof.pdf
• hxxps://irp.cdn-website[.]com/4683bcc6/files/uploaded/80723380.pdf hxxps://irp.cdn
• website[.]com/a020f79d/files/uploaded/62238594.pdf
• hxxps://jagunafine.weebly[.]com/uploads/1/3/4/3/134363358/koduwebe_ropetow_degodapafumiku.pdf
• hxxps://notapogixunimo.weebly[.]com/uploads/1/3/4/3/134363186/8474e.pdf
• hxxps://trabaja[.]xyz/wpcontent/uploads/2021/09/Empresas-Espanolas-para-trabajar-enArgelia.pdf
• hxxps://uploads.strikinglycdn[.]com/files/b723f54e-c395-4ee8-a471-61584b920b1a/remumajiri.pdf
• hxxps://uploadsssl.webflow[.]com/65f043d4f92470129b4e5799/65f8fea4c897f0bac9dd5202_76924107039.pdf
• hxxps://veszpremkosar[.]hu/_user/file/60055992296.pdf
• hxxps://cdn-website[.]com/files/invoice_312456.pdf  
• hxxps://wsimg[.]com/documents/job_offer_details.pdf
• hxxps://websitefiles[.]com/assets/report-Q1_2025.pdf

Hashes de Arquivo (SHA1):

• fb5c226719aa7c3cbf1b187e7cc15dd2bfe44581 - PDF
• 04b5c00440171062abaa53f5228ef91ac064bb45 – PDF
• 71ebb6b0f5d669e5e53f07ab283e1028252b3c33– PDF
• bb61645305a9e87f6571c49918391b83022b22ca– PDF
• a00e3a1ecced7d3098a35c83b1adc494fb9fe3d8– PDF
• e32145901e539b4d33212fa4485cca531f521ce5 - ARCHIVE
• ec69088d1409444de60c3c6aba5021194839d7ba – EXE
• d7cd79911d2fbb575777b26ecf32da1d0965291f - .bat
• 2c8ec98431a788f18f1865c7d742deb741a927b3 – a3x 

C2:

• hxxps://econnit[.]digital/tqoi
• hxxps://changeaie[.]top/geps
• hxxps://lonfgshadow[.]live/xawi
• hxxps://liftally[.]top/xasj
• hxxps://nighetwhisper[.]top/lekd
• hxxps://salaccgfa[.]top/gsooz
• hxxps://zestmodp[.]top/zeda
• hxxps://owlflright[.]digital/qopy
• hxxps://4liftally[.]top/xasj
• hxxps://jawdedmirror[.]run/ewqd
• hxxps://dogalmedical[.]org
• hxxps://t[.]me/lolypop343