Lumma Stealer-malware maakt sterke comeback met ClickFix-aanvallen
In het voorjaar van 2025 deelden politiediensten in de VS en daarbuiten nog een ‘stevige tik’ uit aan de Lumma Stealer-operatie. Tijdens die actie werden ruim 2.300 domeinen in beslag genomen, evenals de command-and-controlinfrastructuur (C2) en digitale marktplaatsen waar Lumma Stealer zijn Malware-as-a-Service-diensten (MaaS) aanbood. Nog geen jaar later lijkt de hackersgroepering echter alweer volop actief, meldt cybersecurityspecialist Bitdefender.
“Lumma Stealer is weer op grote schaal actief, ondanks een grote actie van wetshandhavingsinstanties in 2025 waarbij duizenden van zijn command-and-control-domeinen werden ontmanteld”, schrijven de onderzoekers.
Verspreiding via ClickFix
De manier waarop Lumma Stealer momenteel wordt verspreid, is opvallend eenvoudig. Cybercriminelen maken gebruik van zogeheten ClickFix-aanvallen. Daarbij spelen ze in op de emoties of angst van gebruikers om hen tot actie aan te zetten.
In de meeste gevallen wordt gebruikers wijsgemaakt dat ze hun software moeten updaten of dat er malware is gedetecteerd. Vervolgens krijgen ze instructies om enkele stappen uit te voeren om het probleem zogenaamd op te lossen.
Eerst CastleLoader, dan Lumma Stealer
Vaak gaat dit gepaard met een actie die via de Uitvoeren-app in Windows moet worden gestart. Dat is nu niet anders. Het commando dat gebruikers invoeren, installeert ongemerkt de zogeheten CastleLoader: een apart stukje malware dat uitsluitend dient als ‘loader’ om vervolgens andere malware te installeren. Die loader blijkt bovendien lastig te detecteren, omdat hij in het geheugen draait en nauwelijks sporen op de opslag achterlaat.
Uiteindelijk draait het natuurlijk om de Lumma Stealer-malware, die via CastleLoader wordt binnengehaald. Deze infostealer wordt door cybercriminelen gebruikt om gegevens buit te maken. Dat kan gaan om logingegevens van mailaccounts en bankrekeningen, maar ook om persoonlijke documenten, wachtwoordkluizen, cryptowallets en andere gevoelige data.
De hackers kunnen de malware op afstand aansturen via C2-servers. Vandaar dat de malware regelmatig ook als LummaC2 wordt aangeduid.
Menselijk vertrouwen als zwakke schakel
Dat Lumma Stealer zou terugkeren, is geen grote verrassing. Al in de zomer doken signalen op dat de malware bezig was aan een comeback. De snelheid waarmee dat nu gebeurt, is echter wél opvallend. De aanvalstactiek lijkt bovendien behoorlijk effectief, gezien de huidige verspreiding.
Bitdefender wijst er dan ook op dat deze aanval sterk leunt op menselijk vertrouwen, en dus niet eens op technische kwetsbaarheden. Een gezonde dosis wantrouwen bij meldingen die je aansporen om acties uit te voeren op je pc, is daarom geen overbodige luxe.
Wees bovendien voorzichtig met gratis software of websites die dergelijke downloads aanbieden. In zulke gevallen is de kans aanzienlijk groter dat je te maken krijgt met malware of met een ClickFix-aanval.
