Em uma grande ofensiva internacional contra o cibercrime, o FBI, a Europol e empresas privadas de cibersegurança desativaram a infraestrutura por trás do infame Lumma Stealer — também conhecido como LummaC ou LummaC2. A operação resultou na apreensão de cerca de 2.300 domínios usados para comandar remotamente sistemas Windows infectados por esse ladrão de informações.
FBI e Europol desmantelam rede de malware Lumma após infecções em massa
Segundo o Departamento de Justiça dos EUA, o Lumma foi responsável pelo roubo de dados confidenciais de milhões de vítimas, incluindo credenciais de login, dados de navegador e carteiras de criptomoedas. Estima-se que o malware tenha causado aproximadamente 10 milhões de infecções desde que entrou em operação no fim de 2022.
Cinco dos domínios derrubados serviam como painéis de controle usados por administradores e clientes do malware, impedindo novas ativações de infecções. Entre março e maio de 2025, a Microsoft identificou mais de 394 mil dispositivos afetados, e a Europol classificou o Lumma como uma das ameaças mais significativas do mundo no roubo de informações digitais.
ataques com Lumma Stealer mostram avanço de infostealers como serviço (MaaS)
O Lumma é oferecido como um serviço de assinatura — o chamado malware-as-a-service (MaaS) — com planos que variam de US$ 250 (aproximadamente R$ 1.409,75) a US$ 1.000 (cerca de R$ 5.639,00), além de uma versão premium de US$ 20.000 (em torno de R$ 112.780,00) que inclui o código-fonte e direitos de revenda. O criador do malware, conhecido pelo pseudônimo “Shamel”, está baseado na Rússia e utiliza plataformas como Telegram para divulgar e comercializar o serviço.
Relatórios da ESET indicam que os planos mais caros do Lumma oferecem maior capacidade de evasão, coleta de dados personalizada e geração exclusiva de builds, tornando-o mais difícil de detectar. O malware é distribuído por meio de diversos métodos, como phishing, malvertising, downloads falsos, abuso de plataformas legítimas e até redes de anúncios manipuladas.
A infraestrutura C2 do Lumma é altamente dinâmica, com domínios que mudam frequentemente, além de canais alternativos no Steam e Telegram usados como backup. O malware é amplamente disseminado em softwares falsificados e crackeados, e os operadores criaram um marketplace próprio no Telegram com sistema de reputação para comercializar dados roubados sem intermediários.
Relatórios recentes mostram que houve mais de 21 mil anúncios vendendo logs do Lumma entre abril e junho de 2024 — um aumento de quase 72% em relação ao mesmo período de 2023.
A Microsoft afirmou que os operadores do Lumma melhoram continuamente suas táticas para evitar detecção, incluindo o uso da Cloudflare para esconder seus servidores C2 reais. A Cloudflare, por sua vez, adicionou páginas intersticiais com verificação Turnstile e bloqueou contas usadas para registrar os domínios maliciosos.
Blake Darché, da Cloudforce One, destacou que a derrubada da rede do Lumma interrompeu as atividades criminosas por dias e prejudicou significativamente a operação. No entanto, ele alertou que, como é comum nesse tipo de crime, os responsáveis provavelmente reaparecerão com novas estratégias.
