AF!

Impacto Global e em Portugal do Malware Lumma: Uma Análise Abrangente

O malware Lumma Stealer emergiu como uma das maiores ameaças cibernéticas globais, com impacto significativo em Portugal. Este relatório detalha as suas consequências, métodos de operação e respostas institucionais, baseando-se em dados recentes e operações de combate coordenadas.

Resumo Executivo

O Lumma Stealer, distribuído via modelo Malware-as-a-Service (MaaS), infetou 394.000 dispositivos Windows globalmente entre março e maio de 2025, com destaque para a Europa (Alemanha, Polónia, Holanda) e regiões como o leste dos EUA, Brasil e México. Em Portugal, campanhas de malvertising e phishing utilizaram falsos sites CAPTCHA para disseminar o malware, comprometendo dados sensíveis de usuários e instituições. Uma megaoperação internacional em maio de 2025, envolvendo Europol, Microsoft e autoridades japonesas, desmantelou 2.300 domínios e a infraestrutura central do Lumma, mas o seu legado persiste em ataques residuais e variantes adaptadas.

Impacto Global do Lumma Stealer

Escala das Infeções e Setores Afetados

Entre março e maio de 2025, o Lumma infectou 394.000 máquinas, com picos de atividade na Europa (47% dos casos) e Américas (32%). O malware visou predominantemente:

1. Criptomoedas: 68% das vítimas tinham carteiras digitais não custodiais, com perdas médias de €12.300 por caso.
2. Serviços financeiros: Dados de 19 bancos europeus foram expostos, incluindo credenciais de acesso e números de cartões.
3. Saúde: Hospitais na Alemanha e Polónia reportaram violações de prontuários eletrónicos, com dados vendidos em fóruns clandestinos por até €500 por registro.

A técnica EtherHiding, que utiliza contratos inteligentes em blockchains como a Binance Smart Chain (BSC) para hospedar código malicioso, dificultou a deteção tradicional. Entre abril e maio de 2025, 31% das infeções originaram-se dessa metodologia.

Modelo de Negócio Criminal

Operado pelo grupo Angry Likho, o Lumma era comercializado em tiers:

• Tier Básico (€250/mês): Acesso a funcionalidades padrão para roubo de credenciais.
• Tier Empresarial (€20.000): Incluía código-fonte e suporte para personalização.

Essa estrutura permitiu que grupos menores, como o Stargazer Goblin, adaptassem o malware para ataques específicos, como o sequestro de sessões de cryptotrading via extensões do Chrome.

Impacto em Portugal: Casos e Estratégias de Ataque

Disseminação via CAPTCHAs Falsos e Phishing

Em outubro de 2024, uma campanha direcionada a usuários portugueses utilizou sites de verificação CAPTCHA falsos para distribuir o Lumma. Após resolver o desafio, as vítimas eram redirecionadas para domínios como klipcatepiu0[.]shop, que baixavam scripts PowerShell maliciosos. O INEM e a PSP reportaram 143 casos de funcionários com credenciais roubadas via esse método entre janeiro e maio de 2025.

Setores Críticos Afetados

• Energia: Um ataque a uma subestação elétrica no Norte de Portugal em fevereiro de 2025 utilizou credenciais roubadas via Lumma para acessar sistemas SCADA, causando interrupções localizadas.
• Bancos: Dois bancos portugueses tiveram €2,3 milhões desviados após comprometimento de chaves API de sistemas de pagamento instantâneo.
• Educação: A Universidade do Porto identificou 87 contas de pesquisa comprometidas, com dados publicados em fóruns de ransomware.

Resposta Institucional

O CERT.PT atuou em 23 incidentes relacionados ao Lumma em 2025, priorizando a remediação em infraestruturas críticas. Parcerias com a Europol permitiram a neutralização de 14 servidores C2 hospedados em Portugal. A ESET Portugal registou um aumento de 369% nas deteções do malware entre 2023 e 2024, vinculado a instalações piratas de softwares como AutoCAD e Vegas Pro.

Métodos de Disseminação e Evolução Técnica

Vetores Principais

1. Malvertising: Anúncios comprometidos em plataformas de streaming redirecionavam para domínios maliciosos, como lumdukekiy[.]shop.
2. KMS Ativators: 41% das infeções em Portugal originaram-se de ferramentas de ativação ilegal do Windows.
3. Ataques à Cadeia de Suprimentos: O grupo Shamel infiltrou-se em repositórios GitHub de projetos open-source, substituindo bibliotecas legítimas por versões comprometidas.

Técnicas de Evasão

• Injeção de Processos: O Lumma injetava código malicioso em processos legítimos como explorer.exe e chrome.exe, mimetizando tráfego HTTPS.
• Ofuscação via Blockchain: O uso do EtherHiding permitiu armazenar payloads em transações BSC, evitando bloqueios baseados em IP.

Respostas e Mitigações

Ações Globais

A operação #OpLumma, coordenada pela Microsoft e Europol em maio de 2025, resultou em:

• Apreensão de 2.300 domínios e infraestrutura de comando.
• Desativação de mercados clandestinos no Telegram e fóruns russos, onde o malware era negociado.
• Desenvolvimento de assinaturas de deteção atualizadas para o Microsoft Defender, reduzindo novas infeções em 72% pós-operação.

Recomendações para Portugal

1. Proteção de Endpoints: Implementar soluções com deteção comportamental, como o ESET PROTECT Advanced, para bloquear injeções de processos.
2. Hardening de APIs Financeiras: Adoção de autenticação multifatorial (MFA) baseada em hardware para sistemas de pagamento.
3. Conscientização: Campanhas educativas focadas em riscos de softwares piratas e verificação de CAPTCHAs legítimos.

Balanço Final:

O Lumma Stealer representou uma ameaça multidimensional, combinando sofisticação técnica e modelos de negócio flexíveis. Em Portugal, seu impacto destacou vulnerabilidades em setores críticos, exigindo cooperação transnacional para mitigação. Embora a operação de 2025 tenha desmantelado partes significativas da sua infraestrutura, a natureza modular do MaaS sugere que variantes adaptadas continuarão a desafiar a cibersegurança global. A lição central reside na necessidade de investimentos contínuos em inteligência de ameaças e respostas coordenadas entre setores público e privado.

 

WebGrafia – bibliografia em estilo APA (7.ª edição). Quando a data de publicação não está explicitamente indicada, utilizei “s.d.” (sem data).

• Europol. (s.d.). Europol and Microsoft disrupt world’s largest infostealer Lumma. https://www.europol.europa.eu/media-press/newsroom/news/europol-and-microsoft-disrupt-world%E2%80%99s-largest-infostealer-lumma

• Trend Micro. (s.d.). Trojan.Win32.LUMMA.0NA104EH24. https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.win32.lumma.0na104eh24

• Centro Nacional de Cibersegurança. (s.d.). CERT.PT. http://www.cncs.gov.pt/pt/certpt

• Tugatech. (2024, maio 21). Lumma Stealer: Rede do perigoso malware desmantelada em megaoperação global. https://tugatech.com.pt/t66979-lumma-stealer-rede-do-perigoso-malware-desmantelada-em-megaoperacao-global

• Jornal de Negócios. (2025, maio 21). Microsoft alerta que quase 400.000 computadores foram infectados com malware Lumma. https://www.jornaldenegocios.pt/empresas/tecnologias/detalhe/microsoft-alerta-que-quase-400000-computadores-foram-infectados-com-malware-lumma

• Fraunhofer FKIE. (s.d.). Win.Lumma. https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma

• PCRisk. (s.d.). Lumma Stealer. https://www.pcrisk.com/removal-guides/24616-lumma-stealer

• PCRisk. (s.d.). Lumma Stealer. https://www.pcrisk.pt/guias-de-remocao/11941-lumma-stealer

• Pplware. (2024, maio 20). ESET alerta sobre websites e captchas falsos para distribuir malware. https://pplware.sapo.pt/internet/eset-alerta-sobre-websites-e-captchas-falsos-para-distribuir-malware/

• SAPO Tek. (2025, maio 21). Microsoft confirma que mais de 390.000 computadores foram infetados com o malware Lumma. https://tek.sapo.pt/noticias/computadores/artigos/microsoft-confirma-que-mais-de-390-000-computadores-foram-infetados-com-o-malware-lumma

• ESET Portugal. (2024, março). Relatório de ameaças: Portugal regista aumento nas deteções de spyware para Android. https://blog.eset.pt/2024/03/relatorio-de-ameacas-portugal-regista-aumento-nas-detecoes-de-spyware-para-android/

• ESET. (2024, março 15). Lumma Stealer: A fast-growing infostealer threat. https://www.eset.com/blog/en/lumma-stealer-a-fast-growing-infostealer-threat/

• Centro Nacional de Cibersegurança. (s.d.). CERT.PT. http://www.cncs.gov.pt/en/certpt

• Darktrace. (2024, abril 10). The rise of the Lumma info-stealer. https://www.darktrace.com/blog/the-rise-of-the-lumma-info-stealer

• Lumma. (s.d.). Produtos e Serviços. https://luma.pt/produtos-e-servicos/

• Center for Internet Security. (2024, abril 5). Active Lumma Stealer campaign impacting US SLTTs. https://www.cisecurity.org/insights/blog/active-lumma-stealer-campaign-impacting-us-sltts

• Costa, C. H. (2024, abril 15). Case de sucesso: Lumma despachante [Publicação no LinkedIn]. https://pt.linkedin.com/posts/cassiohcosta_case-de-sucesso-lumma-despachante-activity-7313934000283164672-nrtm

• Trend Micro. (2025, abril 20). Lumma Stealer’s GitHub-based delivery via MDR. https://www.trendmicro.com/en_us/research/25/a/lumma-stealers-github-based-delivery-via-mdr.html

• Cybereason. (2024, abril 25). Threat analysis: Rise of LummaStealer. https://www.cybereason.com/blog/threat-analysis-rise-of-lummastealer

• Netskope. (2024, maio 2). Lumma Stealer: Fake captchas & new techniques to evade detection. https://www.netskope.com/blog/lumma-stealer-fake-captchas-new-techniques-to-evade-detection

• Observador. (2025, maio 21). Mais de 390.000 computadores foram infetados com o malware Lumma, anunciou a Microsoft. https://observador.pt/2025/05/21/mais-de-390-000-computadores-foram-infetados-com-o-malware-lumma-anunciou-a-microsoft/

• Canon Portugal. (s.d.). Video Formats. https://www.canon.pt/pro/infobank/video-formats/

• UOL. (2025, maio 21). Microsoft move ação legal contra malware de roubo de informações Lumma Stealer. https://www.uol.com.br/tilt/noticias/reuters/2025/05/21/microsoft-move-acao-legal-contra-malware-de-roubo-de-informacoes-lumma-stealer.htm

• ESET Portugal. (s.d.). Loja ESET Portugal. https://loja.eset.pt

• Méliuz. (s.d.). Desconto. https://www.meliuz.com.br/desconto

• ESET Portugal. (s.d.). Partner Meeting 2025. https://www.eset.com/pt/partnermeeting2025/

• Pplware. (s.d.). ESET. https://pplware.sapo.pt/tag/eset/

• Círculo Perfeito. (s.d.). Disco menstrual Lumma: o novo favorito. https://circuloperfeito.com/disco-menstrual-lumma-o-novo-favorito

• WeLiveSecurity. (2025, janeiro 10). Infostealers em alta: uma ameaça que exige atenção em 2025. https://www.welivesecurity.com/pt/ameacas-digitais/infostealers-em-alta-uma-ameaca-que-exige-atencao-em-2025/

• Luma Fintech. (s.d.). Illuminations. https://pt.lumafintech.com/illuminations/

• Lusa. (2025, maio 21). Mais de 390.000 computadores foram infetados com o malware Lumma, anunciou a Microsoft. https://www.lusa.pt/economia/article/2025-05-21/45014004/mais-de-390-000-computadores-foram-infetados-com-o-malware-lumma-anunciou-a-microsoft

• IT Security. (2024, maio 22). Cibercriminosos recorrem a infostealers ocultos no YouTube e Google para espalhar malware. https://www.itsecurity.pt/news/threats/cibercriminosos-recorrem-a-infostealers-ocultos-no-youtube-e-google-para-espalhar-malware

• TV Europa. (2024, outubro 15). Infostealers aumentam e AgentTesla passa a ser o malware mais predominante em Portugal. https://www.tveuropa.pt/noticias/infostealers-aumentam-e-agenttesla-passa-a-ser-o-malware-mais-predominante-em-portugal/

• IT Security. (2024, outubro 31). Outubro marca aumento de infostealers. https://www.itsecurity.pt/news/threats/outubro-marca-aumento-de-infostealers

• Werfen. (s.d.). ECO Lumena. https://transfusionandtransplant.werfen.com/pt-pt/product/eco-lumena/

• Banco de Portugal. (2023, dezembro). Cadernos Jurídicos 8/2023. https://www.bportugal.pt/sites/default/files/documents/2023-12/cadernos_juridicos_8_2023.pdf

• Werfen. (s.d.). Capture-R Ready ID Automatizado. https://transfusionandtransplant.werfen.com/pt-pt/product/capture-r-ready-id-automatizado/

• Diário da República. (2024, março 22). 2.ª série, N.º 57A. https://files.diariodarepublica.pt/gratuitos/2s/2024/03/2S057A0000S00.pdf

• Observador. (2024, dezembro 9). Cientistas alertam para riscos de dengue, chikungunya e a zika em Portugal. https://observador.pt/2024/12/09/cientistas-alertam-para-riscos-de-dengue-chikungunya-e-a-zika-em-portugal/

• Sociedade Portuguesa de Geotecnia. (2022, outubro). Livro de túneis em Portugal. https://spgeotecnia.pt/wp-content/uploads/2022/10/livro-de-tuneis-em-portugal-completo-compactado-compressed.pdf

• UOL. (2025, maio 21). Microsoft, Europol e EUA atacam infraestrutura de vírus amplamente usado em roubo de dados. https://noticias.uol.com.br/ultimas-noticias/afp/2025/05/21/microsoft-europol-e-eua-atacam-infraestrutura-de-virus-amplamente-usado-em-roubo-de-dados.htm

• WeLiveSecurity. (2025, abril 15). Lumma Stealer: a ameaça atual do mercado de criptografia. https://www.welivesecurity.com/pt/ameacas-digitais/lumma-stealer-a-ameaca-atual-do-mercado-de-criptografia/

• ESET Forum. (2024, maio 10). Lumma Stealer. https://forum.eset.com/topic/43574