Il ritorno di Lumma Stealer: il malware è ancora più difficile da fermare

Negli ultimi mesi, la scena della cybersecurity internazionale si è trovata nuovamente sotto scacco: una nuova ondata di attacchi informatici sta travolgendo utenti privati e aziende, complice il ritorno in grande stile di Lumma Stealer.

Nonostante l’operazione di sequestro coordinata da Microsoft e FBI nel maggio 2025 avesse lasciato sperare in una tregua, la realtà è ben diversa: migliaia di credenziali bancarie compromesse, chiavi private di criptovalute sottratte e accessi abusivi a infrastrutture sensibili sono solo la punta dell’iceberg di una minaccia che si è evoluta con rapidità e spregiudicatezza.

Quando le autorità hanno smantellato la rete legata a Lumma, si pensava di aver inflitto un colpo mortale al malware. Invece, la risposta dei criminali informatici è stata sorprendente: in pochi mesi, hanno ricostruito e potenziato l’infrastruttura criminale, implementando il sofisticato CastleLoader.

Questo nuovo sistema di esecuzione opera interamente in memoria, sfruttando tecniche di offuscamento del codice tali da rendere quasi invisibile la presenza del malware anche ai software di sicurezza più avanzati.

Il paradosso della fiducia: il raggiro del falso CAPTCHA

Tra le tattiche più insidiose emerse in questa nuova fase di attacchi, spicca l’ormai celebre ClickFix. Gli utenti ricevono notifiche che simulano CAPTCHA di verifica, apparentemente legittimi, ma in realtà progettati per indurre la vittima a copiare e incollare comandi nel terminale del proprio computer.

Un gesto che, nella quotidianità digitale, appare innocuo, ma che in questo caso spalanca le porte al download e all’esecuzione di payload malevoli, consentendo l’installazione silenziosa di Lumma Stealer senza che la vittima se ne accorga.

I cybercriminali hanno compreso che la visibilità non è più un ostacolo: oggi sfruttano piattaforme apparentemente sicure e frequentate da milioni di utenti. È così che Steam Workshop, server Discord privati e forum di modding sono diventati veri e propri veicoli di infezione. Il codice malevolo si cela dietro mod di gioco, utility di sistema, file apparentemente innocui condivisi all’interno di community affidabili.

A ciò si aggiungono i tradizionali canali di diffusione, come software contraffatto, che continuano a mietere vittime tra chi cerca scorciatoie gratuite, senza rendersi conto del rischio.

Il bottino nascosto: l’ampiezza del credential theft

Una volta penetrato nel sistema, Lumma Stealer non si limita a rubare password. L’arsenale del malware è ampio e sofisticato: dal browser hijacking per sottrarre credenziali e cookie, all’estrazione di documenti sensibili, passando per la compromissione di chiavi crittografiche dei wallet digitali e dei codici di backup per l’autenticazione a due fattori.

Vengono intercettati anche accessi a client VPN, email e server FTP. Per le aziende, la minaccia si amplifica: basta una sola macchina infetta per aprire una breccia nell’intera rete aziendale, esponendo dati e asset strategici a rischi incalcolabili.

Difendersi oggi: consapevolezza, tecnologia e vigilanza

In un contesto in cui il pericolo può celarsi ovunque, la strategia difensiva deve essere necessariamente multilivello. Primo: evitare qualsiasi download da fonti non ufficiali, siano esse siti di warez o community su Discord.

Secondo: non eseguire mai comandi copiati da pagine web o chat senza averne verificato la provenienza e la legittimità, una pratica apparentemente banale ma spesso trascurata.

Terzo: configurare il sistema affinché il terminale richieda un’autenticazione aggiuntiva prima di eseguire operazioni potenzialmente pericolose. Quarto: mantenere costantemente aggiornati i sistemi e affidarsi a soluzioni di sicurezza avanzate, in grado di individuare comportamenti anomali in memoria, là dove i tradizionali antivirus risultano spesso inefficaci.