Cibercriminales ejecutan un ataque silencioso de Lumma Stealer a través de un sitio falso de Telegram Premium que descarga malware automáticamente y roba credenciales sin necesidad de que el usuario haga clic.

Una reciente campaña maliciosa ha comenzado a atacar a los usuarios a través de un sitio web falso de Telegram Premium, el cual alberga una variante peligrosa del malware Lumma Stealer. Este sitio, telegrampremium[.]app, imita con gran precisión la marca legítima de Telegram Premium y contiene un archivo denominado start.exe. Lo curioso es que este ejecutable, desarrollado en C/C++, se descarga automáticamente al visitar la página, sin necesitar ninguna interacción de parte del usuario.

Una vez que se ejecuta el malware, recopila datos sensibles como credenciales almacenadas en el navegador, detalles de billeteras de criptomonedas e información del sistema, aumentando así el riesgo de robo de identidad. Este sitio falso opera como un mecanismo de descarga automática, donde los archivos maliciosos son entregados sin el consentimiento explícito del usuario.

El ejecutable presenta una alta entropía, lo cual indica que se ha utilizado un método de ofuscación para complicar su detección por parte de las suites de seguridad tradicionales. Un análisis estático revela que el malware importa numerosas funciones de la API de Windows, lo que le permite manipular archivos, modificar el registro, acceder al portapapeles, ejecutar cargas adicionales y evadir la detección.

Además, el malware realiza consultas DNS utilizando el servidor público de Google, eludiendo así los controles de red internos. Se comunica tanto con servicios legítimos como Telegram y Steam Community para posibles propósitos de comando y control, así como con dominios generados algorítmicamente para evitar que sean desactivados.

Las técnicas empleadas permiten que el malware mantenga canales de comunicación mientras evade la detección por parte de firewalls y herramientas de monitoreo convencionales. El dominio está recién registrado, sugiriendo que fue creado para actividades específicas y de corta duración. El malware descarga múltiples archivos disfrazados en el directorio %TEMP%, incluyendo cargas útiles encriptadas que se presentan como archivos de imagen. Algunos de estos son renombrados y ejecutados como scripts ofuscados, lo que permite al malware eliminar sus rastros.

Utiliza funciones como Sleep para demorar la ejecución y LoadLibraryExW para cargar DLL de manera sigilosa, dificultando aún más la detección por parte de los analistas durante las inspecciones iniciales.

Para protegerse contra amenazas de este tipo, se sugiere implementar soluciones de detección y respuesta en endpoints que identifiquen patrones de comportamiento sospechosos relacionados con Lumma Stealer. También es fundamental bloquear el acceso a dominios maliciosos y hacer cumplir estrictos controles de descarga para prevenir la entrega de cargas útiles. La autenticación multifactor es esencial para limitar los daños en caso de que las credenciales sean comprometidas, y la rotación regular de credenciales ayuda a reducir el riesgo de acceso a largo plazo por parte de los atacantes. Por último, el monitoreo continuo de actividades sospechosas permite una detección y respuesta más rápida ante posibles brechas.