Lumma Stealer merupakan salah satu jenis malware pencuri informasi yang belakangan ini semakin berbahaya karena kemampuannya beradaptasi dengan berbagai teknik serangan baru. Awalnya hanya menyebar melalui metode phishing tradisional, kini Lumma Stealer mulai memanfaatkan pendekatan yang lebih manipulatif seperti penyamaran CAPTCHA palsu dan penyisipan lewat iklan di situs terkompromi. Serangan ini tidak hanya menyasar satu wilayah atau sektor, melainkan telah menyebar secara global dan menargetkan berbagai industri, mulai dari layanan kesehatan, keuangan, hingga telekomunikasi. Evolusi ini menunjukkan bahwa pelaku ancaman terus mencari cara untuk mengecoh pengguna dan melewati pertahanan keamanan, menjadikan Lumma Stealer sebagai ancaman serius yang perlu diwaspadai oleh semua organisasi.
Lumma Stealer adalah salah satu jenis malware pencuri informasi (information stealer) yang didistribusikan menggunakan model Malware-as-a-Service (MaaS), di mana pembuat malware menyewakan alat ini kepada pelaku kejahatan siber lain dengan sistem berlangganan. Dengan pendekatan ini, siapa pun dengan niat jahat dan akses dana dapat menggunakan Lumma Stealer tanpa perlu memiliki keahlian teknis tinggi. Setelah berhasil menginfeksi perangkat korban, malware ini akan bekerja secara senyap untuk mengumpulkan berbagai informasi sensitif, lalu mengirimkannya ke server milik pelaku.
Informasi yang dicuri oleh Lumma Stealer meliputi password yang tersimpan di browser, riwayat pencarian, cookie sesi, serta data dari dompet cryptocurrency seperti Metamask, Ledger, dan Trezor. Malware ini dirancang untuk secara aktif memindai file yang mengandung kata kunci seperti "wallet", "password", atau "seed". Sasaran utamanya pun bukan sembarangan, serangan ini meluas ke berbagai sektor, mencakup bidang kesehatan, keuangan, dan pemasaran, di mana sektor telekomunikasi menjadi target utama karena nilai data yang dimiliki dan potensi dampak finansialnya. Kemampuan untuk mencuri data pribadi dalam jumlah besar membuat Lumma Stealer menjadi salah satu ancaman paling serius di ranah keamanan siber saat ini.
Baca juga: Browser vs Email Gateway: Siapa Paling Ampuh Lawan Phishing?
Salah satu taktik terbaru yang digunakan untuk menyebarkan Lumma Stealer adalah melalui halaman CAPTCHA palsu yang tampak meyakinkan. Kampanye ini dimulai ketika korban mengunjungi situs web yang telah dikompromikan, lalu secara otomatis diarahkan ke halaman verifikasi CAPTCHA tiruan. Di halaman ini, pengguna diarahkan untuk menyalin sebuah perintah aneh ke kolom Run di Windows. Tanpa disadari, perintah ini memanfaatkan mshta.exe, sebuah tool bawaan Windows, untuk mengunduh dan mengeksekusi file HTA dari server jarak jauh. Teknik ini merupakan evolusi dari metode yang sebelumnya dikenal sebagai ClickFix, di mana pelaku menanamkan skrip PowerShell terenkripsi ke dalam sistem korban secara fileless.
Kampanye penyebaran Lumma Stealer ini bersifat global dan telah menargetkan korban di berbagai negara seperti Argentina, Kolombia, Amerika Serikat, dan Filipina. Tidak hanya itu, pelaku juga menyasar berbagai sektor industri, dengan telekomunikasi menjadi sektor yang paling banyak menjadi korban, disusul oleh kesehatan, perbankan, dan pemasaran. Hal ini menunjukkan bahwa para pelaku ancaman tidak hanya menargetkan individu, tetapi juga organisasi dengan infrastruktur digital yang kompleks dan data sensitif yang bernilai tinggi.
Taktik penyebaran yang digunakan dalam kampanye ini sangat mengandalkan rekayasa sosial, karena korban sendiri yang diminta mengeksekusi perintah berbahaya di luar browser. Dengan begitu, mereka dapat menghindari sebagian besar sistem perlindungan berbasis peramban. Setelah dijalankan, skrip akan melanjutkan ke tahap-tahap berikutnya: mengunduh payload tambahan, menghindari deteksi antivirus dengan melewati Windows Antimalware Scan Interface (AMSI), dan akhirnya memasukkan Lumma Stealer ke dalam sistem korban. Inilah yang menjadikan metode ini begitu berbahaya—karena menyerang dari dalam dan memanfaatkan interaksi manusia sebagai pintu masuk utama.
Untuk memahami seberapa berbahayanya Lumma Stealer, penting untuk melihat secara menyeluruh bagaimana malware ini bekerja dari awal hingga berhasil mencuri data. Serangan ini dirancang dengan cermat melalui beberapa tahapan yang saling berkesinambungan, dimulai dari manipulasi pengguna hingga teknik penghindaran deteksi yang canggih. Berikut adalah tahapan lengkap dari rantai serangan Lumma Stealer:
Setelah melalui tahapan infeksi yang kompleks, Lumma Stealer melanjutkan aksinya dengan berbagai teknik canggih untuk menghindari deteksi. Berikut beberapa metode utama yang digunakan malware ini:
Dengan kombinasi teknik rekayasa sosial, eksploitasi tool sah, enkripsi payload, dan injeksi proses, Lumma Stealer menjadi salah satu malware yang sangat sulit dideteksi dan ditanggulangi jika tidak ada sistem keamanan berlapis yang aktif.
Setelah berhasil menyusup dan mengeksekusi skrip awal, Lumma Stealer akan menjalankan file utama bernama VectirFree.exe, yang merupakan loader untuk malware inti. File ini dieksekusi dalam sistem target dan langsung memulai rangkaian aksi lanjutan yang agresif. Salah satu taktik yang digunakan adalah men-drop beberapa file tambahan ke direktori sementara, seperti Killing.bat dan Voyuer.pif, yang berfungsi sebagai alat bantu untuk mempertahankan keberadaan malware dan mempersiapkan lingkungan sistem untuk pencurian data.
Killing.bat dirancang untuk melakukan pemeriksaan terhadap proses antivirus yang sedang berjalan di sistem, seperti wrsa.exe (Webroot), opssvc.exe (Quick Heal), dan bdservicehost.exe (Bitdefender). Jika ditemukan, skrip ini akan mencoba menghentikan proses tersebut menggunakan perintah tasklist dan findstr. Tujuannya jelas: menonaktifkan perlindungan real-time agar proses pencurian data bisa berjalan tanpa gangguan. Sementara itu, Voyuer.pif diduga berperan dalam mempertahankan akses atau merekam aktivitas sistem secara diam-diam.
Begitu pertahanan sistem dilemahkan, Lumma Stealer mulai menjalankan fungsinya sebagai malware pencuri informasi. Ia memindai direktori pengguna untuk mencari file yang mengandung kata kunci sensitif, seperti seed, wallet, pass, atau metamask. File-file seperti seed.txt, wallet.txt, hingga metamask.txt menjadi target utama karena biasanya menyimpan informasi penting terkait akun cryptocurrency. Dengan pendekatan yang sangat terfokus ini, Lumma Stealer mampu mencuri data bernilai tinggi dalam waktu singkat dan tanpa terdeteksi oleh pengguna biasa.
Setelah berhasil mengumpulkan data sensitif dari sistem korban, Lumma Stealer akan mengirimkan informasi tersebut ke server milik pelaku yang dikenal sebagai Command and Control (C2). Dalam kampanye terbaru, malware ini menggunakan domain dengan akhiran “.shop” sebagai alamat C2, yang kerap dipilih karena relatif mudah didaftarkan dan belum tentu dianggap mencurigakan oleh sistem keamanan. Selain itu, data dikirim melalui Content Delivery Network (CDN) seperti Cloudflare, sehingga lalu lintas data tampak seperti komunikasi normal dari layanan sah, mempersulit upaya pendeteksian.
Untuk menghindari deteksi lebih lanjut, Lumma Stealer juga dilengkapi dengan teknik evasion atau penghindaran, termasuk menyamarkan file dan mengenkripsi lalu lintas data. Beberapa indikator kompromi (Indicators of Compromise/IoC) yang teridentifikasi mencakup domain, hash file, dan jejak lalu lintas jaringan yang mencurigakan. Namun, karena serangan ini menggunakan infrastruktur dan tools yang legal, seperti Cloudflare dan domain umum, malware ini sering kali tidak terdeteksi oleh solusi keamanan tradisional, menjadikannya ancaman yang sangat licin dan persisten.
Untuk memperluas jangkauan dan meningkatkan tingkat keberhasilan serangan, pelaku di balik Lumma Stealer tidak hanya mengandalkan teknik teknis, tetapi juga memanfaatkan berbagai strategi rekayasa sosial yang cermat. Pendekatan ini dirancang untuk mengecoh pengguna melalui tampilan visual yang meyakinkan dan saluran distribusi yang sudah akrab di mata korban. Berikut adalah beberapa metode utama yang digunakan dalam penyebaran Lumma Stealer:
Pelaku membuat ribuan domain palsu yang menyerupai situs populer seperti Reddit, WeTransfer, dan AnyDesk. Situs tiruan ini digunakan untuk mengelabui pengguna agar mengunduh file berbahaya yang tampak seperti aplikasi sah. Karena tampilannya menyerupai situs asli, korban cenderung tidak curiga saat menjalankan file tersebut.
Lumma Stealer juga disebarkan melalui email phishing, perangkat lunak bajakan, serta tautan yang disisipkan di platform terbuka seperti GitHub dan YouTube. Pelaku menyamar sebagai pengembang atau pembuat konten yang menawarkan tools atau software populer, namun menyisipkan malware dalam file unduhan mereka.
Dengan memanfaatkan fitur Profiles as a Service dari Gravatar, pelaku membuat profil palsu yang meniru tampilan merek-merek ternama seperti AT&T dan Proton Mail. Profil ini digunakan untuk phishing berbasis tampilan visual (avatar phishing), menipu korban agar percaya bahwa mereka sedang berinteraksi dengan layanan resmi, lalu mencuri data login atau informasi sensitif lainnya.
Untuk mencegah infeksi Lumma Stealer, langkah paling mendasar adalah tidak menyalin atau menjalankan perintah dari sumber yang tidak jelas, terutama jika diminta menempelkan sesuatu ke jendela Run di Windows. Selain itu, pengguna perlu lebih waspada terhadap situs dengan tampilan CAPTCHA yang mencurigakan, terutama jika setelah verifikasi muncul instruksi yang tidak biasa. Situs semacam ini sering kali merupakan bagian dari skenario rekayasa sosial yang dirancang untuk memancing interaksi manual dari pengguna agar malware dapat dieksekusi di luar sistem keamanan browser.
Di sisi lain, organisasi juga perlu melengkapi sistem mereka dengan teknologi deteksi tingkat lanjut, seperti endpoint detection and response (EDR) yang mampu mengidentifikasi aktivitas mencurigakan berbasis PowerShell script dan pola eksekusi tidak lazim. Selain perlindungan teknis, kesadaran karyawan terhadap taktik social engineering seperti phishing, situs palsu, dan manipulasi visual sangat penting untuk mencegah insiden dari awal. Pelatihan rutin mengenai ancaman siber terkini dapat secara signifikan mengurangi risiko serangan yang mengandalkan kesalahan manusia.
Baca juga: Ancaman Baru: Malware Node.js Menyamar sebagai Aplikasi Trading
Lumma Stealer merupakan contoh nyata dari malware modern yang terus berkembang dan beradaptasi dengan taktik baru untuk mengelabui sistem keamanan serta pengguna. Dengan kemampuan menyusup secara fileless, menyamar melalui halaman CAPTCHA palsu, dan mengeksploitasi kelemahan perilaku manusia, Lumma Stealer menuntut pendekatan pertahanan yang tidak hanya mengandalkan teknologi, tetapi juga edukasi berkelanjutan bagi pengguna. Ancaman semacam ini menunjukkan bahwa tim keamanan harus merespons dengan cepat dan sigap, menggabungkan solusi teknis canggih dengan peningkatan kesadaran agar serangan dapat dicegah sebelum berdampak besar.