Pesquisadores descobriram que o malware Lumma Stealer, conhecido por roubar informações sensíveis, está sendo distribuído por canais do Telegram, explorando a popularidade da plataforma para enganar usuários e contornar medidas de segurança tradicionais. Este ataque sofisticado tem como alvo principalmente usuários na Índia, EUA e Europa, comprometendo dados críticos por meio de software disfarçado de versões “crackeadas”.

Um dos canais envolvidos, chamado “hitbase”, com 42 mil inscritos, publicou, em 3 de novembro, links que aparentemente continham o malware disfarçado. Outro canal, “sharmamod”, com 8,66 mil inscritos, também foi identificado propagando software malicioso sob a aparência de conteúdo legítimo. A conexão entre os canais é usada para ampliar o alcance dos ataques, repassando mensagens e distribuindo arquivos fraudulentos.

Entre os arquivos utilizados, o “CCleaner 2024.rar” contém códigos maliciosos disfarçados de arquivos DLL legítimos da Microsoft. Uma análise aprofundada revelou que o arquivo executável “CCleaner 2024.exe” usa mecanismos de descriptografia para processar dados criptografados, sugerindo um ataque multifásico que compromete sistemas ao explorar vulnerabilidades e injetar código malicioso em processos do sistema.

Os dados descriptografados, armazenados em variáveis específicas, revelaram a presença de chamadas de API relacionadas à injeção de processos. Um exemplo foi o uso do processo legítimo “RegAsm.exe” como alvo de injeção, carregando um segundo estágio do ataque, identificado como um executável compilado em Visual C++. Esse esquema reflete o uso crescente de plataformas confiáveis como o Telegram para conduzir campanhas maliciosas. A propagação do malware por meio de canais aparentemente legítimos dificulta a detecção e aumenta os riscos para usuários que baixam conteúdo sem verificar sua autenticidade.