LummaStealer infecta milhares por meio de jogos piratas

Pesquisadores descobrem nova campanha do LummaStealer

Uma nova campanha de infecção do LummaStealer, um malware de roubo de informações pessoais, foi revelada por pesquisadores da Bitdefender. Esse ataque se intensificou após uma operação policial em maio de 2025, que resultou na remoção de mais de 2.300 domínios utilizados por criminosos.

Compreendendo o LummaStealer

O LummaStealer é um tipo de software malicioso, conhecido como infostealer, que visam roubar dados sensíveis de computadores. Ele opera sob um modelo de malware-as-a-service (malware como serviço), onde desenvolvedores alugam o software a criminosos por preços que variam de US$ 250 a US$ 20.000.

O malware apareceu em fóruns russos no final de 2022 e rapidamente se tornou um dos infostealers mais utilizados no mundo. Após a operação policial, muitos operadores mudaram sua infraestrutura para provedores de hospedagem que não cooperam com as autoridades.

Funcionamento do ataque

O ataque se inicia com sites falsos que oferecem downloads de software pirata ou jogos crackeados. Ao baixar um arquivo executável, a vítima instala o CastleLoader, um componente que carrega o LummaStealer, às vezes disfarçado com nomes como "Need for Speed Hot Pursuit Setup.exe".

O CastleLoader opera na memória do computador, evitando que arquivos suspeitos sejam gravados no disco rígido, o que dificulta a sua detecção por antivírus convencionais.

Métodos de engano

Os atacantes usam técnicas de engenharia social, como a exibição de mensagens que incentivam as vítimas a pressionar teclas que executam comandos maliciosos em seu sistema. Isso permite que malware seja executado sem necessidade de downloads adicionais.

Persistência e evasão

Após a instalação, o LummaStealer cria arquivos em pastas específicas e estabelece atalhos para garantir execução automática ao ligar o computador. O malware adapta seus métodos com base nos antivírus instalados, para evitar a detecção.

Quando executado, ele passa por um processo de descriptografia em duas etapas para revelar seu código malicioso final.

Falha no sistema expõe infecções

Os pesquisadores identificaram uma falha que permite monitorar as infecções. O LummaStealer tenta se conectar a um domínio inexistente, gerando uma solicitação DNS que deixa um rastro rastreável aos investigadores.

Dados roubados

Depois de instalado, o malware procura informações valiosas, como senhas e documentos pessoais. Ele pode roubar credenciais de navegadores, gerenciadores de senhas, carteiras de criptomoedas e até realizar capturas de tela do dispositivo da vítima.

Impacto e distribuição global

A Índia é o país mais afetado, seguida dos Estados Unidos e da Europa. O LummaStealer pode ser direcionado a qualquer região, dependendo dos criminosos que o utilizam.

Consequências para a privacidade

O roubo de dados pode resultar em sequestro de contas e fraude financeira, além de possibilitar a extorsão em casos de informação sensível exposta.

Como se proteger

• Evitar downloads de software de fontes não oficiais.
• Desconfiar de sites que solicitam comandos manuais no PowerShell.
• Trocar senhas imediatamente se suspeitar de infecção.
• Em caso de infecção confirmada, reinstalar o sistema operacional pode ser necessário.
• Empresas devem investir em educação sobre engenharia social e implementar autenticação multifator.

Fique atento ao TecMundo para mais notícias sobre segurança cibernética e tecnologia.