En Madrid, el 12 de febrero de 2023, la lucha contra las amenazas cibernéticas toma un nuevo giro con el resurgimiento del LummaStealer, uno de los programas maliciosos más persistentes del mundo. A pesar de los esfuerzos internacionales por erradicar su infraestructura, este 'malware' ha evolucionado y ha adoptado formas de distribución innovadoras, apoyándose en técnicas de ingeniería social y utilizando sistemas como CastleLoader.

Desde su aparición en 2022, LummaStealer ha tenido un impacto significativo, permitiendo a los ciberdelincuentes apropiarse de información crítica, incluidos datos de inicio de sesión, información bancaria, y detalles de tarjetas de crédito y criptomonedas. Este programa opera bajo el modelo de "malware como servicio", vendiéndose a través de redes clandestinas, lo que lo convierte en una herramienta accesible para delincuentes en todo el mundo.

La actividad de LummaStealer ha tenido repercusiones a nivel global, afectando a sistemas en África, Europa y especialmente en España. Su presencia ha resultado en ataques que interrumpen servicios, extorsionan a las víctimas y vacían cuentas bancarias, consolidándolo como uno de los más empleados en el cibercrimen, en parte gracias a un robusto ecosistema de afiliados y una infraestructura en constante evolución.

En mayo del año pasado, una operación coordinada por las autoridades, incluyendo a Europol, Microsoft y colaboradores de la industria, logró desarticular gran parte de la estructura de LummaStealer. Esta intervención resultó en la confiscación de su centro de comando por parte del Departamento de Justicia de EE.UU. y su desmantelamiento en mercados de delincuencia cibernética, frenando momentáneamente su funcionamiento.

Sin embargo, la estructura del LummaStealer no fue completamente eliminada. Su capacidad de adaptación ha permitido que los cibercriminales migren rápidamente a nuevos proveedores de servicios, un testimonio de la resiliencia y la agilidad de esta operación delictiva.

Recientes informes de la empresa de ciberseguridad Bitdefender revelan que la actividad de LummaStealer ha reemergido con fuerza, renovando su alcance global. Este malware ahora utiliza fundamentalmente campañas de ingeniería social para extender su impacto, en lugar de depender de métodos de explotación técnica.

Los expertos han observado que los delincuentes han comenzado a utilizar técnicas como la creación de CAPTCHA falsos —denominados 'ClickFix'— y la distribución de descargas fraudulentas de juegos y contenido multimedia, como películas. Estas estrategias están diseñadas para engañar a los usuarios, quienes, sin saberlo, ejecutan archivos maliciosos en sus dispositivos.

Además, Bitdefender identificó que CastleLoader ha emergido como una herramienta esencial en esta revitalización, funcionando como un sofisticado cargador de malware que opera en múltiples capas. Gracias a su capacidad de ejecutar código en memoria y su nivel de ofuscación, CastleLoader es clave en la entrega de cargas maliciosas, evadiendo mecanismos de detección.

Los especialistas han notado una "superposición parcial" en la infraestructura entre CastleLoader y LummaStealer, sugiriendo que los grupos de ciberdelincuentes detrás de estos sistemas están colaborando o, al menos, compartiendo recursos. Este hallazgo enfatiza la complejidad y adaptabilidad de las redes delictivas en la actualidad.

Ante este renovado desafío, Bitdefender hace un llamado a la precaución. El regreso de LummaStealer podría tener consecuencias sumamente serias, como el robo de credenciales y el fraude financiero, lo que podría derivar en la toma de control de cuentas y extorsiones. La compañía advierte a los usuarios sobre la importancia de descargar software o contenido multimedia únicamente de fuentes confiables y oficiales, evitando especialmente cualquier cosa que se ofrezca como gratuita o pirata. Aquellos sitios que instruyan a los usuarios a ejecutar comandos, en particular en PowerShell, deben considerarse peligrosos.