Se ha detectado un fuerte aumento en las infecciones del malware LummaStealer, impulsado por campañas de ingeniería social que utilizan la técnica conocida como ClickFix para distribuir el loader CastleLoader.
LummaStealer, también identificado como LummaC2, opera bajo el modelo de malware-as-a-service (MaaS). En mayo de 2025, su infraestructura fue interrumpida cuando empresas tecnológicas y autoridades incautaron 2,300 dominios y su estructura central de comando. Sin embargo, la operación comenzó a reactivarse en julio de 2025.
¿Qué roba LummaStealer?
Este tipo de malware está diseñado para extraer información sensible, incluyendo:
Credenciales almacenadas en navegadores
Cookies de sesión y tokens de autenticación
Datos de billeteras de criptomonedas
Configuraciones VPN
Documentos y datos de cuentas
Su objetivo es capturar cualquier información que permita el acceso no autorizado a servicios y plataformas.
CastleLoader: la nueva pieza clave
Un reciente informe de la empresa de ciberseguridad Bitdefender indica que entre diciembre de 2025 y enero de 2026 las operaciones de LummaStealer crecieron significativamente gracias al uso de CastleLoader.
CastleLoader es un loader altamente ofuscado basado en scripts (AutoIT o Python) que:
Descifra y ejecuta la carga maliciosa completamente en memoria
Implementa múltiples capas de ofuscación
Usa renombrado de variables basado en diccionario
Incluye código basura y ramas muertas para dificultar el análisis
Emplea operaciones aritméticas irrelevantes para ocultar su funcionamiento real
Este modelo modular y su ejecución en memoria lo hacen especialmente eficaz para distribuir malware a gran escala.
Cadena de infección típica
Las campañas actuales utilizan la técnica ClickFix, que funciona de la siguiente manera:
El usuario accede a una página falsa de verificación o CAPTCHA.
Se le muestran instrucciones para ejecutar un comando de PowerShell.
El comando malicioso ya está copiado en el portapapeles.
Al ejecutarlo, se descarga un script desde el servidor del atacante.
Se instala CastleLoader, que posteriormente puede descargar LummaStealer.
Antes de ejecutar la carga final, CastleLoader realiza verificaciones del entorno para detectar si está siendo analizado en un sandbox y adapta su comportamiento según los productos de seguridad detectados en el sistema.
Técnicas de persistencia y evasión
Para mantenerse activo en el sistema, CastleLoader:
Copia el script malicioso en rutas de persistencia
Duplica el intérprete en otra ubicación
Crea accesos directos en la carpeta de inicio
Además, inicia deliberadamente consultas DNS fallidas hacia dominios inexistentes. Según Bitdefender, este comportamiento puede utilizarse como indicador para detectar su actividad.
Investigadores del grupo Insikt de Recorded Future ya habían identificado en noviembre que uno de los dominios de la infraestructura de CastleLoader actuaba como servidor de comando y control (C2) para LummaStealer.
Métodos actuales de distribución
Actualmente, LummaStealer se distribuye a través de:
Instaladores de software modificados
Software pirateado descargado desde sitios falsos o torrents
Archivos multimedia o videojuegos falsos
Las campañas han afectado a múltiples países alrededor del mundo.
ClickFix: el vector más efectivo
Según los investigadores, ClickFix se ha convertido en un vector altamente efectivo en estas campañas.
La técnica explota la confianza del usuario mediante falsas páginas de verificación que inducen a ejecutar comandos que no comprenden, lo que termina comprometiendo el equipo.
Recomendaciones generales
Los investigadores aconsejan:
No descargar ni ejecutar archivos desde fuentes no oficiales
Evitar ejecutar comandos en PowerShell o consola como parte de procesos de verificación web
Mantener distancia de software pirateado
Utilizar bloqueadores de anuncios para reducir la exposición a resultados promocionados maliciosos
El incremento de estas campañas demuestra que, pese a las acciones legales contra su infraestructura, LummaStealer continúa evolucionando y adaptando sus métodos de distribución.
