O ataque aos computadores aconteceu entre 16 de março e 16 de maio, altura em que foram infetados pelo Lumma Stealer, também conhecido como LummaC2 uma ferramenta dos hackers para roubar dados como senhas, contas bancárias e carteiras de criptomoedas, que depois usam para exigir resgates ou atacar serviços essenciais, indicou a Microsoft numa publicação no seu blog.

"A nossa investigação sobre a infraestrutura de distribuição da Lumma Stealer revela um ecossistema dinâmico e resiliente que abrange o phishing, o malvertising, o abuso de plataformas fiáveis ​​e os sistemas de distribuição de tráfego. Estas descobertas sublinham a importância dos esforços colaborativos para travar o cibercrime", refere a empresa

Unidade de Digital Crimes Unit (DCU)  da gigante da tecnologia explica que, a 13 de maio, a unidade de crimes cibernéticos apresentou uma ação judicial num tribunal da Geórgia (EUA), que lhe permitiu "apreender e facilitar a remoção, suspensão e bloqueio de aproximadamente 2.300 domínios" que compunham "a infraestrutura do Lumma

Ao mesmo tempo o Departamento de Justiça dos EUA "apreendeu a estrutura de comando central do Lumma e interrompeu os mercados onde a ferramenta era vendida para outros criminosos cibernéticos", enquanto autoridades na Europa e no Japão ajudaram a suspender a infraestrutura local do programa.

A disseminação do vírus concentrou-se principalmente no continente europeu, de acordo com um mapa compartilhado pela Microsoft no seu blog, que mostra Alemanha, Polónia, Holanda e outros países próximos em vermelho, bem como partes da Espanha e Portugal, mas também o leste dos EUA, Brasil e México.

Mapa do ataque Lumma Stealer pela Microsoft
Mapa do ataque Lumma Stealer pela Microsoft créditos: Microsoft

No início de abril de 2025, a Microsoft observou um grupo de sites comprometidos a utilizar as técnicas EtherHiding e ClickFix para instalar o Lumma Stealer. "O EtherHiding é uma técnica que envolve a utilização de contratos inteligentes em plataformas blockchain como o Binance Smart Chain (BSC) para alojar partes de código malicioso", explica.

Adianta anda que os métodos tradicionais de bloqueio de código malicioso, como o bloqueio de IP ou de domínio ou deteções baseadas em conteúdo, são menos eficazes contra o EtherHiding porque o código está incorporado na blockchain. Abaixo está um exemplo

Exemplo de técnica usada para instalar o Lumma Stealer
Exemplo de técnica usada para instalar o Lumma Stealer créditos: Microsoft

"Trabalhando com as autoridades policiais e parceiros da indústria, cortámos as comunicações entre a ferramenta maliciosa e as vítimas", disse a Microsoft, o que implica que os computadores infetados já não estão em risco.

No blog a Microsoft recomenda algumas medidas para reduzir o impacto desta ameaças, entre as quais o reforço da configuração do Microsoft Defender, ativando a proteção web, e bloqueando a execução de ficheiros executáveis ou de scripts em bloco.

(com Lusa)