Lumma Stealer ressurge com fingerprinting avançado e dribla defesas do Google Chrome

Lumma Stealer, malware especializado em roubo de dados de navegadores, voltou a operar de forma consistente a partir de 20 de outubro de 2025, agora com um módulo de browser fingerprinting que amplia a camuflagem das infecções e eleva o grau de inteligência sobre as vítimas.

Quem é o alvo e o que mudou na operação

O infostealer tem como principal vetor de coleta o Google Chrome, navegador predominante em ambientes corporativos e pessoais. Após um vazamento interno que expôs dados de integrantes do grupo criminoso, parte da clientela migrou para concorrentes como Vidar e StealC. Mesmo assim, a Trend Micro detectou nova onda de amostras, indicando que os operadores do Lumma reconstruíram a infraestrutura e adicionaram funcionalidades que tornam o malware mais difícil de identificar.

Linha do tempo do retorno

A retomada das atividades foi registrada pela primeira vez em 20 de outubro, data em que servidores de comando e controle começaram a receber consultas de amostras inéditas. Entre o final de outubro e meados de novembro, os números de detecções permaneceram estáveis, sugerindo campanha contínua e não apenas testes pontuais. Antes disso, o grupo mantinha perfil reduzido desde o episódio de doxxing que comprometeu a reputação da operação.

Como o Lumma Stealer invade o sistema

A porta de entrada continua sendo executáveis maliciosos entregues por meios variados, como anexos de e-mail ou downloads comprometidos. Uma vez em execução, o código emprega remote thread injection para se mesclar a processos legítimos já abertos no sistema, escolhendo, na maior parte dos casos, instâncias do MicrosoftEdgeUpdate.exe como ponto de partida.

Embora o nome remeta ao navegador da Microsoft, o binário serve apenas de trampolim. A rotina cria uma nova thread dentro de processos genuínos do Chrome, fazendo com que o tráfego subsequente pareça originado do próprio navegador. Para camadas de defesa que confiam em assinaturas de aplicativo ou em listas de processos autorizados, a artimanha reduz o risco de bloqueio imediato.

Browser fingerprinting: coleta exaustiva de parâmetros

O diferencial da nova versão está no script de fingerprinting injetado no navegador. O código levanta uma quantidade elevada de atributos, formando um perfil quase único do dispositivo contaminado. A lista de elementos abrange:

• Sistema operacional e versão;
• Número de núcleos de CPU e quantidade de memória;
• Resolução de tela, profundidade de cor e orientação;
• Fontes instaladas e plugins habilitados;
• Largura de banda estimada e latência de rede;
• Informações de WebGL, incluindo o vendor da GPU, nome do renderizador e extensões suportadas;
• Resultado de canvas fingerprinting, gerado a partir de pequenas variações no desenho de fontes e formas;
• Dados de áudio obtidos via Web Audio API, como taxa de amostragem e canais;
• Endereços IP internos e detalhes de interface descobertos por meio de WebRTC.

Ao combinar esses pontos, o Lumma avalia se executa em máquina virtual, sandbox de laboratório ou ambiente de produção. Caso identifique indícios de análise, pode decidir suspender funcionalidades críticas, dificultando a engenharia reversa. Em cenários reais, os dados orientam a escolha de cargas maliciosas alinhadas às capacidades do equipamento, aumentando a eficácia da intrusão.

Cadeia de comunicação e novos endpoints

O primeiro contato com a infraestrutura adversária ocorre na rota /api/set_agent. A requisição HTTP GET incorpora três valores:

• Identificador hexadecimal de 32 caracteres, exclusivo por infecção;
• Token de autenticação que valida a origem;
• Informação sobre o navegador hospedeiro.

Em resposta, o servidor autoriza a execução do fingerprinting. Depois de coletar os atributos, o malware forma um objeto JSON e envia os resultados por meio de requisição HTTP POST ao mesmo endpoint, incluindo o parâmetro act=log. Concluída a transmissão, o navegador é redirecionado a about:blank, minimizando sinais visíveis ao usuário.

Riscos operacionais para empresas e usuários finais

Essa arquitetura traz duas implicações centrais. A primeira é a dificuldade de detecção em soluções que monitoram apenas anomalias de tráfego: por trafegar sobre HTTP legítimo do Chrome, o volume gerado não destoa do comportamento corriqueiro de navegação. A segunda é o ganho tático para o atacante, que passa a dispor de relatórios detalhados antes mesmo de decidir quais credenciais, carteiras de criptomoedas ou documentos vão ser exfiltrados.

Protocolo herdado mantém compatibilidade

A equipe criminosa manteve, em paralelo, os canais de controle baseados em WinHTTP APIs. A sintaxe antiga transmite parâmetros como uid, que identifica o operador responsável pela campanha, e cid, que habilita módulos adicionais. A coexistência dos dois métodos ilustra abordagem em camadas: preservar ferramentas já testadas e, ao mesmo tempo, expandir as capacidades de reconhecimento das vítimas.

Discrição após vazamento de dados dos operadores

Desde o incidente de exposição de membros, o grupo passou a limitar a presença em fóruns clandestinos. A Trend Micro observou perfis falsos no Telegram que tentam se fazer passar por canais oficiais do Lumma, indicando esforço deliberado para confundir pesquisadores e concorrentes. Algumas amostras recentes ainda fazem referência a domínios de comando e controle obsoletos, alguns deles já neutralizados por técnicas de sinkholing da Microsoft, reforçando a hipótese de que os criminosos priorizam sigilo em vez de escalabilidade imediata.

Consequências e próximos passos da ameaça

A continuidade de ataques em ritmo constante sugere que o Lumma Stealer não encerrou suas atividades após a perda de reputação. Pelo contrário, reestruturou as operações para operar em volume menor, porém com maior precisão. Organizações que dependem do Chrome como ferramenta de trabalho precisam considerar políticas de isolamento de navegador, atualização de assinaturas de detecção comportamental e inspeção profunda de HTTP para identificar tráfego voltado a endpoints suspeitos, como o /api/set_agent.