▲
- Lumma Stealer, um malware que rouba informações, voltou a atacar com técnicas mais avançadas desde outubro.
- Você deve ficar atento pois ele pode invadir seu Google Chrome e coletar dados detalhados do seu computador.
- Esse ataque impacta usuários ao dificultar a detecção e aumentar a eficácia do roubo de informações pessoais.
- O malware usa métodos que mascaram sua presença e obtém informações relacionadas a hardware, software e rede do dispositivo.
O Lumma Stealer ressurgimento marca a volta de um malware ladrão de informações, que mostra atividade intensa novamente. Anteriormente, um vazamento de dados afetou os cibercriminosos, levando clientes a buscar alternativas como Vidar e StealC. Contudo, a Trend Micro começou a notar o retorno do Lumma desde 20 de outubro, agora com um comportamento mais elaborado.
Este infostealer, que é um tipo de malware focado em roubar dados, passou a usar técnicas de browser fingerprinting. Isso significa que ele coleta uma grande quantidade de detalhes sobre o computador da vítima diretamente pelo navegador. Os criminosos não mudaram tudo, mas adicionaram uma camada extra às suas operações já existentes para torná-las mais eficazes e discretas.
Como funciona a nova técnica do Lumma Stealer
O funcionamento do ataque começa com o malware injetando um processo, utilizando uma técnica específica chamada “remote thread injection”. Os criminosos usam um arquivo que parece seguro, o MicrosoftEdgeUpdate.exe, para criar uma linha de execução, ou thread, dentro de processos do Chrome que já estão ativos no computador da vítima. Isso permite que o malware se disfarce.
Com essa técnica, o malware consegue se passar pelo Chrome. Para os sistemas de segurança, parece que o navegador está apenas realizando suas tarefas normais. Essa camuflagem é bastante eficaz, pois dificulta muito a detecção por softwares de monitoramento de rede, que poderiam identificar atividades incomuns.
Após a infiltração, o Lumma Stealer se conecta a um novo ponto de acesso no servidor de comando e controle dos criminosos, especificamente em “/api/set_agent”. Este endpoint é um endereço no servidor onde o malware envia suas requisições para trocar informações com os operadores. Essa comunicação é um passo crucial para o controle da ameaça.
Nesta primeira conexão, realizada via HTTP GET, o malware envia alguns dados na URL. Ele inclui um identificador único de 32 caracteres em hexadecimal, que serve para marcar aquela infecção específica. Além disso, envia um token de autenticação para validar a comunicação e detalhes sobre qual navegador está sendo usado pela vítima. Isso ajuda os criminosos a gerenciar seus ataques.
Browser fingerprinting: a nova arma do malware
Uma parte notável desta nova estratégia é a quantidade e a qualidade das informações que o script de fingerprinting consegue capturar. Ele age como se estivesse colhendo as digitais de um computador, criando um perfil detalhado do sistema. Isso inclui dados sobre o sistema operacional e especificações de hardware, como o número de núcleos da CPU e a memória disponível no dispositivo.
Além das características básicas do navegador, o malware vai bem mais fundo. Ele usa WebGL fingerprinting, que explora a API gráfica do navegador. O WebGL é usado para exibir gráficos 3D na web, e cada combinação de placa de vídeo, driver e sistema operacional processa essas informações de um jeito levemente diferente, criando uma assinatura única para cada máquina.
Assim, o malware consegue identificar o fabricante da placa gráfica, o nome do renderizador e as extensões que são suportadas, montando uma “impressão digital” exclusiva daquele computador. Há também o canvas fingerprinting, que utiliza o elemento canvas do HTML5 para que o navegador desenhe textos e formas. Esse método é outra forma de coletar dados específicos do sistema.
Pequenas diferenças na forma como cada sistema exibe fontes, realiza o anti-aliasing e processa cores resultam em variações mínimas, mas detectáveis. É como se várias pessoas fizessem o mesmo desenho, mas cada uma com um traço ligeiramente distinto, gerando uma assinatura única que pode ser utilizada pelos criminosos para identificar as vítimas.
Técnicas avançadas de coleta de dados
A análise de contexto de áudio é outra técnica utilizada, empregando a Web Audio API para coletar informações sobre como o sistema processa áudio, incluindo taxa de amostragem e configurações de canais. Além disso, há a tecnologia WebRTC, que é particularmente interessante. Essa tecnologia foi desenvolvida para comunicação em tempo real, como chamadas de vídeo em navegadores.
No entanto, o WebRTC acaba vazando informações sobre as interfaces de rede da máquina. Através dos ICE candidates e dos dados do SDP, que são informações essenciais para estabelecer uma conexão de rede, o malware consegue descobrir endereços IP locais e detalhes da configuração de rede da vítima. Isso acontece mesmo que o computador esteja protegido por um firewall ou NAT.
Junto a tudo isso, o Lumma Stealer coleta informações como o tipo de conexão, a largura de banda efetiva, medições de tempo de ida e volta na rede (round-trip time), a resolução da tela e a profundidade de cor. Ele também registra a orientação da tela, as fontes disponíveis no sistema e informações sobre os plugins instalados no navegador, criando um perfil muito completo.
Depois de coletar todos esses dados, o script os organiza em formato JSON, que é um formato estruturado e fácil de processar. Em seguida, as informações são enviadas de volta para o servidor de comando e controle via requisição POST, no mesmo endpoint, mas com um parâmetro adicional “act=log”. Após o envio, o navegador é redirecionado para “about:blank”, diminuindo a chance de a vítima perceber o que aconteceu. Também é importante que sistemas de proteção estejam sempre atualizados, como as atualizações de segurança da Samsung.
Por que essa técnica é perigosa
O objetivo tático por trás dessas técnicas é bastante claro: com um perfil tão detalhado do sistema, os operadores do malware conseguem identificar se estão atuando em uma máquina virtual, em um ambiente de teste (sandbox) ou em um sistema de análise. Isso permite que eles evitem revelar todas as funcionalidades do malware nessas situações, mantendo suas capacidades ocultas.
Além disso, essa coleta de dados permite que os criminosos selecionem melhor as vítimas e direcionem ataques específicos baseados nas características do sistema. Por exemplo, eles podem enviar códigos maliciosos adaptados para as capacidades de hardware ou software de um computador. Para proteger-se contra golpes que roubam senhas, é sempre bom estar atento aos detalhes.
Como todas essas operações acontecem por meio de processos legítimos do navegador, usando o protocolo HTTP padrão, a detecção se torna muito mais difícil. Para os sistemas de segurança que monitoram apenas o tráfego de rede, parece que o Chrome está apenas fazendo requisições web normais. Isso torna o Lumma Stealer uma ameaça persistente e difícil de combater.
Lumma mantém estratégia híbrida de ataque
Apesar de todas as atualizações e a adição de novas e sofisticadas técnicas, o malware ainda mantém os protocolos de comunicação antigos. Eles continuam a transmitir os parâmetros tradicionais de comando e controle usando as WinHTTP APIs, que são funções do Windows para realizar requisições HTTP de baixo nível. Essa abordagem garante compatibilidade com a infraestrutura preexistente.
Os parâmetros que ainda são transmitidos incluem o “uid”, que identifica o operador por trás do ataque e a campanha específica do Lumma. Há também o “cid”, que indica recursos adicionais que foram ativados dentro do malware. Esses dados são cruciais para os criminosos gerenciarem suas operações e entenderem o alcance de cada ataque.
Portanto, a estratégia do Lumma Stealer é, de fato, híbrida e em camadas. Ele mantém o sistema antigo em funcionamento para garantir a compatibilidade com a infraestrutura já existente e com todas as ferramentas que os operadores já utilizam. Contudo, adiciona essa nova capacidade de fingerprinting, o que aprimora significativamente a coleta de informações sobre as vítimas e a eficácia dos ataques. Manter aplicativos de segurança atualizados é sempre uma boa medida.
Grupo mantém perfil baixo após doxxing
A Trend Micro observou que a presença dos operadores do Lumma Stealer em fóruns clandestinos diminuiu consideravelmente. Existem, inclusive, contas falsas no Telegram que se passam por canais legítimos do Lumma, criando confusão dentro do ecossistema de ameaças. Essa redução de atividade em fóruns indica uma mudança na conduta do grupo criminoso.
Os novos exemplos do malware, ou samples, contêm até mesmo domínios de comando e controle que estão desatualizados. Alguns desses domínios já foram bloqueados pela Microsoft por meio de sinkholing, uma técnica que redireciona o tráfego de malware para servidores seguros. Essa falta de atualização contrasta com as práticas anteriores, que eram mais sofisticadas em termos de rotação de domínios e segurança operacional.
A avaliação da Trend Micro, que tem confiança média nessa análise, sugere que os operadores do Lumma Stealer estão mantendo um perfil baixo intencionalmente. É provável que essa tática seja para evitar a atenção de autoridades e de grupos concorrentes. Contudo, eles continuam operando, embora de forma mais cautelosa e discreta.
Não parece que o grupo encerrou suas atividades, mas sim que está aguardando o momento certo para intensificar novamente suas ações. Ficar de olho em atualizações de segurança para seus dispositivos é uma forma de se proteger. Para mais notícias sobre segurança e tecnologia, acompanhe o TecMundo.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
