O Lumma Stealer, um malware ladrão de informações, voltou a mostrar sinais de atividade após o vazamento de dados de membros do grupo. Naquele episódio, os criminosos perderam clientes, que migraram para concorrentes como Vidar e StealC. Desde 20 de outubro, a Trend Micro vem registrando um ressurgimento do Lumma, agora com um comportamento mais sofisticado.
Desta vez, o infostealer incorporou técnicas de browser fingerprinting, que coletam uma grande quantidade de dados sobre o ambiente da vítima por meio do navegador. Os operadores não mudaram totalmente o modus operandi — apenas acrescentaram uma camada extra à operação já existente.
Como funciona a nova técnica do Lumma Stealer
O funcionamento é o seguinte: o malware realiza uma injeção em processo usando uma técnica conhecida como “remote thread injection”. Ele utiliza um arquivo que aparenta ser legítimo, o MicrosoftEdgeUpdate.exe, e através dele cria uma thread — uma linha de execução — dentro de processos legítimos do Chrome que já estão em execução.
Dessa forma, o malware passa a rodar com a identidade do Chrome. Para as ferramentas de segurança, tudo aparenta ser apenas o navegador executando suas operações normais. Essa camuflagem é bastante eficaz, porque complica muito a detecção por sistemas de monitoramento.
Em seguida, ele se comunica com um novo endpoint no servidor de comando e controle, especificamente “/api/set_agent”. Um endpoint é um endereço no servidor onde são enviadas requisições.
Nessa primeira conexão via HTTP GET, o malware envia parâmetros na URL: um identificador único de 32 caracteres em hexadecimal que marca a infecção, um token de autenticação para validar a comunicação e informações sobre qual navegador está em uso.
Browser fingerprinting: a nova arma do malware
O impressionante é a quantidade e a qualidade dos dados capturados pelo script de fingerprinting — funciona como se colhesse as “impressões digitais” de um computador. Ele reúne informações do sistema operacional, dados de hardware como número de núcleos da CPU e memória, características gerais do navegador e muito mais.
Entre as técnicas, há o WebGL fingerprinting, que explora a API gráfica do navegador. O WebGL é usado para renderizar gráficos 3D na web, e cada combinação de placa de vídeo, driver e sistema operacional processa esses elementos de modo ligeiramente diferente.
 "Lumma Stealer, malware que invade o Google Chrome, volta a atacar 2")
O malware consegue extrair o vendor da placa gráfica, o nome do renderizador e as extensões suportadas, gerando uma assinatura única da máquina. Também utiliza canvas fingerprinting, que faz o navegador desenhar textos e formas no elemento canvas do HTML5.
Devido a pequenas diferenças na renderização de fontes, no anti-aliasing e nas cores entre sistemas, o resultado apresenta variações mínimas mas detectáveis — como se várias pessoas desenhassem a mesma figura com traços ligeiramente distintos.
Técnicas avançadas de coleta de dados
A análise de contexto de áudio usa a Web Audio API para obter informações sobre como o sistema processa áudio, incluindo taxa de amostragem e configurações de canais. E a utilização de WebRTC é especialmente relevante porque, apesar de ser projetada para comunicação em tempo real (como chamadas de vídeo), acaba vazando dados sobre as interfaces de rede da máquina.
Através de ICE candidates e dados do SDP — informações usadas para estabelecer conexões de rede — o malware pode descobrir endereços IP locais e detalhes da configuração de rede da vítima, mesmo quando ela está atrás de firewall ou NAT.
Além disso, o script coleta tipo de conexão, largura de banda efetiva, medições de tempo de ida e volta (RTT), resolução de tela, profundidade de cor, orientação, fontes instaladas e informações sobre plugins do navegador.
Depois de reunir tudo isso, o script serializa os dados em JSON, um formato estruturado e fácil de processar, e os envia de volta ao servidor via POST no mesmo endpoint, agora com o parâmetro adicional “act=log”. Após o envio, o navegador é redirecionado para “about:blank” para reduzir as chances de a vítima perceber a operação.
Por que essa técnica é perigosa
As implicações táticas são claras: com um perfil detalhado do sistema, os operadores conseguem detectar se estão em uma máquina virtual, sandbox ou ambiente de análise, e assim podem evitar revelar todas as funcionalidades do malware nesses casos.
Eles também conseguem escolher vítimas com mais precisão e direcionar payloads específicos conforme as capacidades do sistema. E como todo o tráfego é gerado por processos legítimos do navegador usando HTTP comum, a detecção fica muito mais difícil — para sistemas que monitoram só o tráfego de rede, parece que o Chrome está fazendo requisições normais.
Lumma mantém estratégia híbrida de ataque
Apesar dessa atualização, o malware manteve os protocolos de comunicação antigos. Os operadores ainda utilizam as WinHTTP APIs para transmitir os parâmetros tradicionais de comando e controle — APIs nativas do Windows para requisições HTTP de baixo nível.
Os parâmetros incluem o “uid”, que identifica o operador e a campanha do Lumma, e o “cid”, que marca recursos adicionais ativados.
Ou seja, trata-se de uma estratégia híbrida e em camadas: o sistema legado segue funcionando para compatibilidade com a infraestrutura existente e ferramentas já utilizadas pelos operadores, enquanto a capacidade de fingerprinting adiciona inteligência detalhada sobre as vítimas.
Grupo mantém perfil baixo após doxxing
Segundo a Trend, a presença do grupo em fóruns underground diminuiu consideravelmente. Há contas falsas no Telegram se passando por canais do Lumma, o que gera confusão no ecossistema. Amostras recentes até incluem domínios de comando e controle desatualizados, alguns já bloqueados pela Microsoft via sinkholing.
Isso contrasta com as práticas anteriores do grupo, que contavam com rotação de domínios e maior rigor na segurança operacional.
A avaliação da Trend, com confiança média, é que os operadores estão deliberadamente mantendo um perfil discreto — provavelmente para evitar atrair a atenção de autoridades e concorrentes — mas continuam atuando de forma mais cautelosa.
Não parece que eles fecharam as portas; parece que estão aguardando o momento certo para voltar com força.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e no canal do YouTube.
