SecureLabs
EN | ES
Malware Lumma Stealer afectando a empresas en Chile

Lumma Stealer en Chile

Cómo opera este malware y por qué Invisia lo detiene por completo

Presentación del caso: un malware que sigue activo en 2025

Santiago, Mayo de 2025

En las últimas semanas, múltiples empresas y organismos en Chile han reportado una nueva oleada de correos maliciosos que simulan provenir del SII y otras entidades conocidas. Estos mensajes, cuidadosamente disfrazados, invitan a los usuarios a descargar archivos ZIP o PDF que en realidad contienen malware. El objetivo: robar información sensible sin que la víctima lo note.
Uno de los principales responsables de esta campaña es Lumma Stealer, un infostealer que se ha distribuido a través de técnicas de phishing y enlaces comprometidos. Aunque su diseño no es nuevo, su eficacia lo ha mantenido vigente desde 2022, evolucionando y refinando sus métodos de evasión.

El malware no solo apunta a usuarios domésticos: ya se ha detectado su presencia en entornos corporativos, incluyendo redes gubernamentales y empresas del sector financiero.

¿Qué es Lumma Stealer?

¿y por qué es tan peligroso en 2025?

Lumma Stealer es un malware activo en Chile ahora en 2025 del tipo “infostealer” que opera bajo el modelo de Malware as a Service (MaaS).
Esto significa que cualquier ciberdelincuente puede pagar por usarlo, personalizarlo y distribuirlo a través de campañas propias.

Resultado

Una vez que logra ejecutarse en el sistema de la víctima, Lumma puede:

  • Robar credenciales almacenadas en navegadores como Chrome, Edge y Firefox
  • Extraer información del portapapeles
  • Obtener tokens de autenticación para acceder a correos o cuentas corporativas
  • Rastrear wallets de criptomonedas y transferir fondos
  • Recolectar historial de navegación, cookies de sesión y más

Peor aún: muchas de sus variantes son “fileless”, ejecutándose directamente en memoria. Esta técnica de evasión hace que sea uno de los malwares más complejos y activos en empresas chilenas en 2025.

El resultado puede ser catastrófico:
robo de identidad, fraude financiero, secuestro de sesiones empresariales e incluso exfiltración de datos confidenciales.

¿Cómo responde Invisia? Así detiene a Lumma Stealer completamente

A diferencia de los antivirus clásicos, Invisia no se basa en firmas ni listas negras. Su enfoque es comportamental, proactivo y contextual. Esto lo convierte en una barrera efectiva contra amenazas modernas como Lumma.

¿Tu empresa está preparada para Lumma Stealer? Agenda un diagnóstico gratuito con SecureLabs

Veamos cómo bloquea cada fase del ataque:

Fase de ejecución: Si el archivo infectado se descarga en Descargas o AppData, Invisia detecta la ruta sospechosa y aplica automáticamente reglas de icacls que impiden su ejecución, incluso si el usuario hace clic.

Fase de ejecución en memoria: Si logra ejecutarse, se analiza en tiempo real. Invisia identifica:

  • Argumentos ofuscados (ej. -enc, base64, IEX)
  • Proceso padre anómalo (ej. winword.exe → cmd.exe)
  • Carga desde rutas como Temp, Public, AppData

Resultado: el proceso es terminado inmediatamente y se lanza una alerta visual al administrador.

Fase de robo de clipboard: Invisia ya monitorea el portapapeles. Si detecta que se copia texto sospechoso (tokens, contraseñas, claves), lo reemplaza automáticamente por “BLOQUEADO POR INVISIA”.

Fase de exfiltración: Si intenta enviar datos a sitios como Discord, Telegram Web o dominios personalizados, Invisia bloquea el tráfico, cierra pestañas y alerta al sistema.

Fase de persistencia: Si el atacante intenta dejar un payload en el registro o en inicio automático, incluso desde un entorno de recuperación, el dashboard de Invisia lo detecta y revierte remotamente.

En resumen:
Lumma Stealer no sobrevive ningún punto del ciclo de ataque cuando se enfrenta a Invisia.

Consejos para evitar estos ataques (aunque no uses Invisia)

Aunque Invisia puede prevenir estos ataques incluso si el usuario comete errores, siempre es recomendable mantener ciertas prácticas básicas de ciberseguridad:

  • No descargues archivos desde correos sospechosos, especialmente si vienen en ZIP, RAR o incluyen archivos .exe o .scr
  • Nunca confíes en enlaces acortados o enviados por remitentes desconocidos
  • Verifica que el sitio web al que accedes sea oficial, revisando su dominio cuidadosamente
  • Mantén tu sistema operativo y navegador actualizados
  • Utiliza soluciones de seguridad confiables y activas
  • Capacita a tu equipo regularmente para reconocer intentos de phishing o ingeniería social

SecureLabs: Creando soluciones que no solo detectan amenazas, sino que reducen su existencia desde el origen.

¿Te gustaría saber más sobre cómo INVISIA puede proteger tu empresa de manera más inteligente?

Contactenos aqui