Uma operação internacional liderada pelo FBI, Europol e empresas de cibersegurança desmantelou a infraestrutura do malware Lumma Stealer (também conhecido como LummaC ou LummaC2), responsável por cerca de 10 milhões de infecções em computadores com Windows. Foram apreendidos 2.300 domínios usados como centros de comando e controle (C2), que permitiam a criminosos operar remotamente os dispositivos infectados.

O Lumma Stealer, ativo desde o final de 2022, é uma ferramenta que rouba dados sensíveis como senhas, dados de preenchimento automático, cookies de navegador e frases-semente de carteiras de criptomoedas. Operando sob o modelo de “malware como serviço” (MaaS), ele era vendido em diferentes planos, de US$ 250 a US$ 20 mil, este último incluindo o código-fonte e permissão para revenda. A Microsoft identificou mais de 394 mil infecções entre março e maio de 2025. Segundo a Europol, trata-se da ameaça de roubo de informações mais relevante da atualidade. O principal desenvolvedor, conhecido como “Shamel”, atua em fóruns russos e utiliza o Telegram para comercializar o malware.

A propagação do Lumma ocorria via métodos como phishing, malvertising, downloads ocultos, e abuso de serviços legítimos, inclusive usando plataformas como Oracle Cloud e Scaleway para hospedar páginas falsas com CAPTCHA. A infraestrutura era projetada para ser dinâmica, com domínios rotativos e servidores protegidos por proxy do Cloudflare. Apesar do golpe significativo à operação, especialistas alertam que os responsáveis podem adotar novas táticas e retornar.