O Lumma Stealer, malware conhecido por atacar o Google Chrome, voltou a operar após um período de inatividade. A Trend Micro identificou que ele agora usa uma técnica chamada browser fingerprinting, com o objetivo de coletar dados mais detalhados do ambiente da vítima. Essa atualização torna o ataque mais sofisticado, embora mantenha algumas de suas rotinas antigas.
Esse malware se disfarça por meio de um arquivo falso chamado MicrosoftEdgeUpdate.exe e executa suas ações dentro de processos legítimos do Chrome, dificultando a sua identificação por sistemas de segurança. Além disso, ele coleta informações variadas como dados do hardware e de áudio, criando uma assinatura única do dispositivo para evitar detecção e identificar ambientes analíticos.
O uso dessas técnicas permite que os operadores do Lumma Stealer selecionem vítimas específicas e adaptem seus ataques, inclusive para evitar máquinas virtuais. Para se proteger, é fundamental manter o sistema e o navegador atualizados, além de usar soluções de segurança confiáveis e evitar clicar em links ou baixar arquivos suspeitos.
“`html
Após um período de inatividade, o Lumma Stealer ressurgimento tem sido notado, marcando o retorno deste malware que tem como alvo principal o Google Chrome. A Trend Micro registrou um aumento nas atividades desde outubro, revelando uma nova abordagem mais sofisticada.
Este infostealer agora emprega técnicas de browser fingerprinting, coletando dados detalhados do ambiente da vítima por meio do navegador. Essa tática adiciona uma camada extra à operação existente, sem alterar completamente o modus operandi.
A técnica utilizada envolve a injeção de um processo através de um arquivo que se disfarça como legítimo, o MicrosoftEdgeUpdate.exe. Através dele, uma linha de execução é criada dentro de processos legítimos do Chrome que já estão em execução.
Essa ação permite que o malware execute utilizando a identidade do Chrome, dificultando a detecção pelos sistemas de segurança. Para os sistemas de segurança, parece que é só o navegador fazendo suas coisas normais. É uma camuflagem bem eficaz porque dificulta muito a detecção por sistemas de monitoramento de rede.
Após a injeção, o malware se conecta a um novo endpoint no servidor de comando e controle, enviando parâmetros como um identificador único, um token de autenticação e informações sobre o navegador utilizado.
O browser fingerprinting coleta uma vasta quantidade de informações, como detalhes do sistema operacional, dados de hardware, e características do navegador. A técnica utiliza WebGL fingerprinting para explorar a API gráfica do navegador, extraindo dados da placa gráfica, do renderizador e das extensões suportadas, criando uma assinatura única do dispositivo.
O canvas fingerprinting é outra técnica empregada, usando o elemento canvas do HTML5 para desenhar textos e formas. As diferenças na forma como cada sistema renderiza fontes e cores geram variações detectáveis, criando uma impressão digital única.
Além disso, a análise de contexto de áudio usa a Web Audio API para coletar informações sobre o processamento de áudio do sistema. A tecnologia WebRTC também é utilizada para obter dados sobre as interfaces de rede da máquina, revelando endereços IP locais e configurações de rede.
Todas essas informações são convertidas em formato JSON e enviadas de volta ao servidor. Após o envio, o navegador é redirecionado para “about:blank” para minimizar a chance da vítima perceber o que aconteceu.
O Lumma Stealer ressurgimento, com essa técnica, permite que os operadores identifiquem se estão em uma máquina virtual ou ambiente de análise, evitando revelar todas as funcionalidades do malware. Além disso, possibilita a seleção de vítimas e o direcionamento de payloads específicos.
Apesar da atualização, o malware mantém os protocolos de comunicação antigos, transmitindo parâmetros de comando e controle através das WinHTTP APIs. Essa abordagem híbrida permite a compatibilidade com a infraestrutura existente, enquanto a nova capacidade de fingerprinting aprimora a coleta de informações sobre as vítimas.
Após o vazamento de dados de membros do grupo, a presença do Lumma Stealer ressurgimento em fóruns underground diminuiu, e contas falsas no Telegram criam confusão. A Trend Micro avalia que os operadores estão mantendo um perfil baixo para evitar chamar a atenção das autoridades, mas continuam operando de forma cautelosa.
O uso do browser fingerprinting torna os ataques mais discretos, pois ocorrem via processos legítimos do navegador. A combinação de técnicas antigas e novas permite que o malware se adapte e continue eficaz.
Para se proteger, é fundamental manter o sistema operacional e os navegadores atualizados, além de utilizar soluções de segurança confiáveis. Fique atento a qualquer atividade suspeita em seu navegador e evite clicar em links ou baixar arquivos de fontes desconhecidas.
Entender como o Lumma Stealer ressurgimento funciona e quais técnicas ele utiliza é essencial para se proteger contra essa ameaça. Mantenha-se informado sobre as últimas novidades em segurança cibernética e adote medidas preventivas para garantir a segurança de seus dados.
Via TecMundo
“`
