Mengenal Lumma Stealer: Malware Pencuri Data yang Kian Canggih

Stealer adalah jenis perangkat lunak berbahaya (malware) yang dirancang untuk mencuri informasi pribadi dan sensitif dari perangkat korban, seperti komputer atau ponsel. Informasi yang dicuri bisa berupa kata sandi, data kartu kredit, informasi login akun, dompet kripto, hingga dokumen penting.
Malware stealer umumnya menyebar lewat tautan berbahaya, email phishing, atau software bajakan. Setelah terpasang, malware ini diam-diam mencuri data seperti kata sandi dan informasi keuangan, lalu mengirimkannya ke peretas.
Menurut Infosecurity magazine.com, menginformasikan bahwa terjadi peningkatan terhadap aktivitas serangan malware stealer pada akhir tahun 2024. Dimana terdapat lonjakan sebesar 369 deteksi yang berasal dari Lumma stealer menurut riset Eset. Hal ini berlanjut sampai awal tahun 2025, dibuktikan dengan lumma stealer menjadi yang nomer 1 dalam world rank berdasarkan Anyrun.

Lumma Stealer, atau dikenal sebagai LummaC2, adalah malware pencuri data yang dibuat dengan bahasa pemrograman C. Malware ini dijual dalam model Malware-as-a-Service (MaaS), di mana pembuatnya menawarkan layanan berlangganan atau pembayaran sekali kepada penjahat siber. Varian malware ini diketahui pertama kali pada agustus 2022 disejumlah darkforum (darktrace.com). Diyakini bahwa malware ini dikembangkan oleh pelaku kejahatan siber bernama Shamel dengan nama samaran Lumma.
Berdasarkan trend dari penyebaran lummar stealer, terdapat beberapa target secara umum yaitu :

Baru-baru ini, ditemukan adanya pergerakan yang lebih significant dari threat actor yang memanfaatkan lumma stealer. Terbukti dengan beberapa kali ada pembaharuan terkait dengan black campaign yang memanfaatkan lumma stealer. Hal ini senada dengan informasi yang dimuat pada thehackernews.com. Dimana dalam postingan website tersebut, menginformasikan adanya fake CAPTCHA campaign yang dimanfaatkan oleh threat actor dalam menyebarkan lumma stealer yang menargetkan multi sector.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) adalah sistem keamanan yang digunakan untuk membedakan antara user adalah manusia atau BOT. Hal ini sering digunakan oleh pemilik suatu website guna mencegah adanya aktivitas berbahaya yang bersifat otomatis seperti spamming ataupun serangan bruteforce.

Dari diagram flow infection, Fake CAPTCHA menjadi initial vector penyebaran dari lumma stealer. Penyebaran lumma stealer tersebut memanfaatkan Fake CAPTCHA yang terdapat dalam suatu website yang tampak seperti CAPTCHA seperti pada umumnya.

Pada gambar diatas, layaknya layanan verifikasi CAPTCHA pada umumnya. Terlihat tidak ada sama sekali sesuatu yang berbahaya dan terkesan normal. Namun saat pengguna melakukan klik pada kotak “I’m not a robot”, maka sesuatu yang menarik akan terlihat.

Sebuah script yang melibatkan fungsi mshta akan dieksekusi dan secara otomatis tersalin ke clipboard. Setelah itu, pengguna akan diarahkan untuk membuka fitur Run di Windows dan menempelkan script yang telah disalin tadi untuk dijalankan. Proses ini dapat memicu eksekusi perintah tanpa disadari, yang berpotensi menimbulkan risiko keamanan.

Terlihat pada gambar diatas, bahwa threat actor menyisipkan suatu malicious script dalam button verify captcha tersebut. Sehingga secara otomati korban akan mengcopy scritp tersebut dan diminta untuk menjalankannya. Script tersebut menggunakan mshta.exe untuk menjalankan file dari URL tertentu. mshta.exe sendiri merupakan executable bawaan Windows yang berguna untuk digunakan untuk menjalankan file dengan ekstensi .HTA yaitu (HTML Application). Penggunaan mshta.exe sendiri umum digunakan oleh threat actor dalam menyebarkan malware, dikarenakan dapat mengeksekusi suatu script tanpa perlu menyimpan file tersebut dalam disk.
Sesaat setelah korban menjalan script tersebut, secara otomatis perangkat dari korban tersebut akan menjalankan script powershell yang bersifat malicious. Dimana dalam script powershell tersebut berfungsi untuk menghindari deteksi dengan menonaktifkan kebijakan keamanan PowerShell, mendekripsi data tersembunyi, lalu menjalankan hasil dekripsinya sebagai perintah. Kemungkinan besar, perintah ini digunakan untuk mengunduh dan menjalankan malware atau memberikan akses jarak jauh bagi penyerang.

Juga terdapat Perintah PowerShell lanjutan yang berisi perintah untuk menyembunyikan jendela eksekusi (-w hidden), mengabaikan kebijakan eksekusi (-ep bypass), dan menjalankan perintah tanpa profil (-nop). Kemudian, ia mengidentifikasi metode DownloadString dari objek Net.WebClient, mengunduh file dari URL mencurigakan (https://ddddd.kliprexep.shop/provider(.)png), dan mengeksekusinya secara langsung di memori tanpa menyimpan ke disk.

Kesimpulan : Ditemukan sebuah situs yang menampilkan captcha palsu, yang sebenarnya mengarah pada unduhan file berbahaya. Setelah file tersebut dijalankan, sebuah proses PowerShell tersembunyi muncul dan mengunduh serta mengeksekusi kode berbahaya dari internet. Kejadian ini merupakan bentuk serangan phising, di mana penyerang berusaha mengecoh pengguna untuk mengunduh dan menjalankan malware, seperti luma stealer, yang dapat mencuri data pribadi serta informasi sensitif. Bahaya yang ditimbulkan oleh phising dan malware semacam ini sangat besar, karena dapat menyebabkan hilangnya data berharga, kerugian finansial, hingga pencurian identitas. Oleh karena itu, sangat disarankan agar setiap individu lebih berhati-hati dalam mengklik tautan atau mengunduh file dari sumber yang tidak dikenal, untuk menjaga keamanan perangkat dan melindungi data pribadi mereka.