Lumma Stealer: panoramica attacchi

Come proteggere la tua azienda da LummaC, l’infostealer camaleontico

Cosa è importante sapere:

  • Il problema: LummaC sta colpendo sempre più aziende, rubando dati sensibili e bypassando i sistemi di sicurezza.
  • L'agitazione: Questo infostealer utilizza tecniche avanzate di elusione, rendendo difficile la sua individuazione e aumentando i rischi.
  • La soluzione: Formazione dei dipendenti e strumenti di sicurezza avanzati possono proteggere la tua azienda da LummaC.

Tempo di lettura: 5 minuti

LummaC è un nome che sta diventando familiare tra i report di sicurezza informatica. Questo infostealer, nato come servizio malware-as-a-service (MaaS), rappresenta una delle minacce più diffuse in Italia e all’estero. Ma cosa rende LummaC così pericoloso? Quali tattiche usa per eludere i controlli? E soprattutto, come possono le aziende proteggersi da questo malware?

Chi è LummaC?

Lumma Stealer, o LummaC, è un malware progettato per rubare informazioni sensibili. È programmato in C, da cui prende il nome. Questo infostealer non è nuovo: è stato reso disponibile sui forum della criminalità informatica nel dicembre del 2022, e da allora è stato utilizzato in numerose campagne di attacco.

Ma perché LummaC è diventato così popolare? Uno dei motivi principali è che è disponibile come servizio in abbonamento, il che significa che chiunque può accedere alle sue funzionalità pagando una somma che varia dai 250 ai 1000 dollari. Chi sono i suoi bersagli principali? Aziende di tutti i settori, specialmente quelle che operano con grandi volumi di dati sensibili.

Illustrazione di un attacco informatico da parte di Lumma Stealer, che mostra un hacker che utilizza il malware per rubare dati sensibili da un computer aziendale.

Un’immagine che rappresenta un attacco informatico tramite Lumma Stealer, un malware progettato per rubare dati sensibili. Mostra un hacker al lavoro su un computer, mentre il software infostealer estrae informazioni preziose da un sistema aziendale. Questo malware, disponibile come servizio in abbonamento, colpisce principalmente aziende con grandi volumi di dati.

Dove si diffonde LummaC?

LummaC ha colpito principalmente l’Europa, il Medio Oriente, l’Africa e anche gli Stati Uniti. In Italia, è spesso rilevato dal CERT-AGID, l’organizzazione che si occupa di monitorare gli attacchi informatici. Ma dove si annida questo malware?

  • Software e applicazioni false: LummaC si camuffa da aggiornamento per software legittimi. Un esempio recente è stato quando si è finto un aggiornamento per browser come Google Chrome.
  • Messaggi diretti: Attacchi attraverso commenti su piattaforme come GitHub sono comuni. Gli attaccanti utilizzano false correzioni nei commenti per diffondere il malware.
  • Email di phishing: Uno dei metodi più comuni, dove i criminali inviano email con allegati dannosi che, una volta aperti, installano LummaC sul sistema.

come proteggere azienda lummac linfostealer camaleontico

Cosa rende LummaC così pericoloso?

La pericolosità di LummaC deriva dalle sue funzionalità avanzate e dalla sua capacità di eludere i sistemi di rilevamento. Ma quali sono le tecniche specifiche che lo rendono così difficile da individuare?

  1. Offuscamento del codice: LummaC utilizza una tecnica chiamata Control Flow Flattening, che nasconde il flusso del programma, rendendo difficile per gli antivirus comprendere come funziona.
  2. Rilevamento del comportamento umano: Il malware traccia i movimenti del mouse per capire se il sistema è manovrato da una persona reale o se si trova in un ambiente di test (sandbox).
  3. Stringhe crittografate: Utilizza la crittografia XOR per nascondere le stringhe di codice critiche, rendendo più difficile l’analisi del malware.
  4. File di configurazione dinamici: Il malware può modificare le sue impostazioni in base all’ambiente in cui opera, rendendo ancora più difficile la sua rilevazione.
Illustrazione delle tecniche avanzate di Lumma Stealer, mostrando un hacker che utilizza offuscamento del codice e crittografia per eludere i sistemi di rilevamento.

Un’immagine che rappresenta le tecniche avanzate utilizzate da Lumma Stealer per eludere i sistemi di rilevamento. Mostra un hacker al lavoro, con schermi che evidenziano l’offuscamento del codice, il tracciamento del comportamento umano e l’uso di stringhe crittografate. Questa rappresentazione illustra perché LummaC è considerato un malware particolarmente pericoloso per le aziende.

Come viene rilevato LummaC?

I sistemi di rilevamento tradizionali faticano a identificare LummaC a causa delle sue tecniche avanzate di evasione. Una delle funzionalità più interessanti di LummaC è l’uso della trigonometria per rilevare il comportamento umano. Il malware utilizza la funzione GetCursor() per tracciare il movimento del mouse e analizza la posizione come un vettore. Se il movimento è troppo lineare, LummaC capisce che si trova in una sandbox e interrompe tutte le sue attività.

Questo livello di sofisticazione rende LummaC particolarmente insidioso, soprattutto per le aziende che non dispongono di sistemi avanzati di rilevamento malware.

Quando è stato scoperto LummaC?

LummaC è stato scoperto per la prima volta nel dicembre del 2022, ma la sua popolarità è cresciuta rapidamente nei primi mesi del 2023. Tra gennaio e aprile, LummaC è stato protagonista di numerose campagne di attacco, specialmente in Europa e Medio Oriente.

Ma quando viene distribuito? LummaC è spesso utilizzato in campagne mirate durante periodi di alta attività economica, come le festività o i grandi eventi commerciali, quando le aziende possono essere più vulnerabili a causa di un aumento del traffico di email e comunicazioni.

Quali sono i settori più a rischio se colpiti da LummaC?

Quali aziende sono le più colpite? LummaC prende di mira una vasta gamma di settori, ma le aziende di produzione, installazione e commercio B2B sono particolarmente a rischio. Questo perché questi settori spesso trattano grandi volumi di dati sensibili e sono meno inclini a investire in cybersecurity avanzata rispetto ad altre industrie.

In particolare, le aziende che non adottano pratiche di sicurezza informatica solide, come l’uso di autenticazione a più fattori o l’implementazione di firewall robusti, sono particolarmente vulnerabili agli attacchi di LummaC.

Perché LummaC è così difficile da bloccare?

Una delle ragioni principali per cui LummaC è difficile da bloccare è la sua capacità di comunicare con i server di comando e controllo (C&C) in modo sicuro. Il malware utilizza server protetti da Cloudflare, un servizio che normalmente protegge i siti web da attacchi, ma che in questo caso viene sfruttato per mascherare il traffico dannoso.

Quando LummaC ruba informazioni, queste vengono raccolte in file ZIP e inviate ai server C2 tramite richieste POST. I dati rubati possono includere tutto, dai dettagli delle carte di credito alle credenziali di accesso ai siti web, e persino informazioni sui wallet di criptovalute.

Cosa possono fare le aziende?

Come possono le aziende proteggersi da una minaccia come LummaC? Sebbene non esista una soluzione perfetta, ci sono alcune misure che le aziende possono adottare per ridurre il rischio di essere colpite da questo infostealer.

  • Formazione dei dipendenti: Spesso, il fattore umano è l’anello debole della catena di sicurezza. Le aziende devono educare i propri dipendenti su come riconoscere tentativi di phishing e altre tattiche di attacco.
  • Verifica della legittimità del software: Le aziende dovrebbero verificare sempre la fonte di qualsiasi aggiornamento software e assicurarsi di scaricare applicazioni solo da fonti affidabili.
  • Utilizzo di antivirus avanzati: Sebbene LummaC utilizzi tecniche di evasione avanzate, molti antivirus moderni, come quelli che integrano EDR (Endpoint Detection and Response), possono comunque rilevare comportamenti sospetti e bloccare le minacce.
  • Autenticazione a più fattori: Implementare sistemi di autenticazione forti può aiutare a prevenire l’accesso non autorizzato ai sistemi aziendali.

LummaC rappresenta una minaccia crescente nel panorama della cybersecurity per le aziende italiane e non solo. Questo infostealer è un esempio perfetto di come i criminali informatici stiano diventando sempre più sofisticati nelle loro tecniche. La prevenzione e l’educazione rimangono le armi più efficaci per proteggere le aziende dai danni causati da questi attacchi.

Fonti e/o link utili di approfondimento:Approfondisci qui

 

Post appena pubblicati

Curiosità sul CRM: come il cloud sta rivoluzionando la gestione clienti

Gestione della flotta aziendale: 5 punti che mostrano l’efficacia delle soluzioni digital

CRM in Cloud: soluzione per la gestione dei clienti

I vantaggi del CRM in cloud per le aziende moderne

Gestione Presenze: semplifica il lavoro!

Rischi nascosti nei convertitori online: cosa sapere

Hacker russi sfruttano bug 0-day di 7-Zip per diffondere malware

Truffe MMS: come i truffatori rubano denaro alle aziende

Seguici e Rimani informato

Iscriviti alla newsletter e sarai tra i primi ad essere informato su nuovi contenuti

Clicca Qui