Trotz Zerschlagung im Mai 2025 LummaStealer hat überlebt

Anbieter zum Thema

Fsas Technologies GmbH

Effektives Social Engineering, flexible Loader-Infrastrukturen und ein etab­lier­tes MaaS-Ökosystem: Die Infostealer-Malware LummaStealer ist mit neuen Methoden zurück. Bitdefender hat laufende Angriffe analysiert und stuft die Bedrohung ein.

Eigentlich wurde die IT-Infrastruktur hinter der berüchtigten und gefürchteten Infostealer-Malware „LummaStealer“ im Mai 2025 abgeschaltet. Eigentlich. Denn nun zeigt LummaStealer dem Hersteller Bitdefender zufolge erneut Aktivitäten. Diesmal würden die Akteure Social Engineering anstelle von Exploits zum Start ihrer Angriffe nutzen, den Malware-Loader „Castle­Loader“ sowie falsche CAPTCHA-Bilder verwenden, um an die Daten ihrer Opfer zu gelangen.

2.300 Domains beschlagnahmt

Microsoft zerschlägt Lumma Stealer

Verbreitung über CastleLoader

LummaStealer trat erstmals 2022 auf und operiert nach dem Malware-as-a-Service-Modell (MaaS). Schnell entwickelte sie sich zu einem der am weitesten verbreiteten Infostealer, der von einer Vielzahl an Partner unterstützt wurde und ständig seine Verbreitungsstruktur anpasste. Auch nach der Zerschlagung im Mai 2025 setzten die Akteure hinter LummaStealer ihre Ak­ti­vi­tä­ten fort, mithilfe von neuen Hosting-Anbietern, alternativen Loadern und Ver­brei­tungs­methoden.

Nun hat Bitdefender einen Bericht veröffentlicht, der zeige, wie LummaStealer seine In­fek­tionen primär durch Social Engineering und weniger durch die Ausnutzung technsicher Schwachstellen verursache. Als Köder würden die Kriminellen gefälschte Cracks und Spiele sowie Mediendownloads verwenden und vertrauenswürdige Plattformen missbrauchen. Eine ebenfalls beobachtete Masche sei die Verwendung von gefälschten CAPTCHAs, um die Web­in­ter­ak­tionen normaler Nutzer in die direkte Ausführung von Befehlen auf den Systemen der Opfer umzuwandeln, etwa indem die Seiten Nutzer unter dem Vorwand einer „Verifikation“ dazu verleiten würden, kopierte Befehle per Win+R/PowerShell einzufügen und auszuführen.

Im Zentrum der meisten von Bitdefender beobachteten Kampagnen stehe CastleLoader, der eine zentrale Rolle bei der Verbreitung von LummaStealer spiele. Der Loader sei modular auf­gebaut, habe ein speicherbasiertes Ausführungsmodell und umfasse Ver­schlei­er­ungs­funk­tio­nen sowie eine flexible Command-and-Control-Kommunikation. Die Analysten von Bitdefender gehen davon aus, dass die Entwicklerteams von LummaStealer und CastleLoader zusammen­ar­bei­ten oder zumindest dieselben Dienstanbieter nutzen. Neben CastleLoader würden die Ak­teu­re auch „Rugmi“ und „DonutLoader“ für die Verbreitung ihrer Malware ein­setzen.

Malware-as-a-Service am Wendepunkt

So gefährlich ist LummaStealer heute

Risiken und Schutzmaßnahmen

LummaStealer sei in der Lage, gespeicherte Zugangsdaten, Authentifizierungs-Cookies und aktive Browsersitzungen aus einer Vielzahl von Anwendungen zu extrahieren. Die daraus entstehenden möglichen Risiken sind dementsprechend hoch. Angreifer könnten Passwörter vollständig umgehen und direkt auf Benutzerkonten zugreifen. Besonders wertvolle Ziele für die Kriminellen sind E-Mail-Konten, da sie damit Zugangsdaten für weitere Diensten erlangen könnten, um großflächige Kontoübernahmen durchzuführen. Zudem könnten infizierte Sys­teme Kryptowährungs-Wallets, im Browser gespeicherte Zahlungsinformationen und au­then­ti­fi­zier­te Sitzungen für Finanzplattformen offenlegen. Selbst wenn der direkte Diebstahl von Wallets nicht sofort bemerkt werden, könnten gestohlene Zugangsdaten und Sitzungen ver­kauft oder für betrügerische Transaktionen, Abonnementmissbrauch oder Monetarisierung auf Untergrundmärkten wiederverwendet werden. Auch sensible persönliche Daten wie Aus­weis­dokumente, Verträge, Rechnungen oder private Korrespondenz können abgegriffen und für Identitätsdiebstahl, Betrug oder gezieltes Social Engineering missbraucht werden.

Da LummaStealer und die zugehörigen Loader stark auf Benutzerinteraktionen angewiesen seien, erfordert eine wirksame Abwehr laut Bitdefender eine Kombination aus Sensibilisierung der Benutzer, Verhaltenskontrollen und Maßnahmen nach der Infektion.

• User sollten es vermeiden, Software, Spiele oder Medien von nicht vertrauenswürdigen oder inoffiziellen Quellen herunterzuladen, insbesondere wenn Inhalte als gecrackt, kostenlos oder exklusiv beworben werden.

• Jede Website, die Benutzer zur manuellen Ausführung von Befehlen auffordert, ins­be­son­dere von PowerShell- und Kommandozeilenprogrammen, sollte grundsätzlich als schädlich eingestuft werden.

• Bei Verdacht auf eine Infektion müsse die Sanierung über die reine Malware-Entfernung hinausgehen. Benutzer sollten umgehend die Passwörter aller auf dem betroffenen System zugänglichen Konten ändern, aktive Sitzungen nach Möglichkeit beenden und die Zu­gangs­daten für E-Mail, Finanzdienstleistungen und berufsbezogene Plattformen priorisieren.

• In vielen Fällen sei eine vollständige Neuinstallation des Betriebssystems erforderlich, um das Vertrauen in das kompromittierte Gerät wiederherzustellen.

• Unternehmen sollten den Analysten zufolge zudem in Schulungen für Benutzer investieren, die sich auf Social-Engineering-Techniken konzentrieren, ungewöhnliches Authen­ti­fi­zier­ungs­ver­hal­ten überwachen und die Multifaktor-Authentifizierung erzwingen, um die Aus­wirkungen von Zugangsdatendiebstahl zu minimieren.

• Erkennungsstrategien sollten Verhaltensindikatoren im Zusammenhang mit Loadern wie CastleLoader umfassen, darunter verdächtige Prozessketten, Missbrauch von Living-off-the-Land-Binärdateien und ungewöhnliche DNS-Aktivitäten.

• Bitdefender veröffentlichte eine Liste der Indicators of Compromise auf GitHub.

Redline-Infostealer verbreitet sich extrem schnell

Zunahme von Infostealer-Infektionen um fast 650 Prozent

(ID:50766158)