17 nov Lumma Stealer, ladrão que ataca Google Chrome, volta a atacar
O Lumma Stealer, malware ladrão de informações, começa a dar sinais de vida após vazamento de dados de membros do grupo. Na época, os cibercriminosos perderam clientes, que migraram para concorrentes como Vidar e StealC. Desde o dia 20 de outubro, a Trend Micro começou a registrar o ressurgimento das atividades do Lumma, mas com um novo comportamento mais sofisticado.
Agora, o infostealer implementou técnicas de browser fingerprinting, que basicamente coleta uma quantidade absurda de dados sobre o ambiente da vítima por meio do navegador. Os cibercriminosos não mudaram o modus operandi completamente – só adicionaram mais uma camada à sua operação já existente.
Quantidade de ataques via Lumma Stealer cresceram e se mantiveram consistentes desde outubro. Imagem: Trend Micro.
Como funciona a nova técnica do Lumma Stealer
O esquema funciona assim: o malware faz uma injeção de processo, especificamente usando uma técnica chamada “remote thread injection”. Eles pegam um arquivo que parece legítimo, o MicrosoftEdgeUpdate.exe, e por meio dele criam uma thread, uma linha de execução, dentro de processos legítimos do Chrome que já estão rodando.
Com isso, o malware consegue executar com a identidade do Chrome. Para os sistemas de segurança, parece que é só o navegador fazendo suas coisas normais. É uma camuflagem bem eficaz porque dificulta muito a detecção por sistemas de monitoramento de rede.
Depois, ele se comunica com um endpoint novo no servidor de comando e controle, especificamente em “/api/set_agent”. Um endpoint é basicamente um endereço específico no servidor onde você manda requisições.
Nessa primeira conexão via HTTP GET, o malware envia alguns parâmetros na URL: um identificador único de 32 caracteres em hexadecimal que marca aquela infecção específica, um token de autenticação para validar a comunicação, e informações sobre qual navegador está sendo usado.
Browser fingerprinting: a nova arma do malware
O impressionante é a quantidade e qualidade das informações captadas pelo script de fingerprinting. Isso porque ele funciona como se estivesse pegando as digitais de um computador. Ele coleta detalhes do sistema operacional, informações de hardware como número de núcleos da CPU e memória do dispositivo, características gerais do navegador, mas vai muito além disso.
Eles usam WebGL fingerprinting, que explora a API gráfica do navegador. WebGL é usado para renderizar gráficos 3D na web, e cada combinação de placa de vídeo, driver e sistema operacional processa essas informações de um jeito ligeiramente diferente.
Funcionamento do código do browser fingerprinting. Imagem: Trend Micro.
O malware consegue extrair o vendor da placa gráfica, o nome do renderizador e as extensões suportadas, criando uma assinatura única daquela máquina. Tem também o canvas fingerprinting, que usa o elemento canvas do HTML5 para fazer o navegador desenhar textos e formas.
Por causa de pequenas diferenças na forma como cada sistema renderiza fontes, anti-aliasing e cores, o resultado final tem variações mínimas mas detectáveis – como se várias pessoas desenhassem o mesmo desenho, mas cada uma com um traço levemente diferente.
Técnicas avançadas de coleta de dados
A análise de contexto de áudio usa a Web Audio API para coletar informações sobre como o sistema processa áudio, incluindo taxa de amostragem e configurações de canais. E tem a parte de WebRTC, que é especialmente interessante porque essa tecnologia foi originalmente feita para comunicação em tempo real, tipo chamadas de vídeo no navegador, mas acaba vazando informações sobre as interfaces de rede da máquina.
Através dos ICE candidates e dados do SDP, que são basicamente informações sobre como estabelecer uma conexão de rede, o malware consegue descobrir endereços IP locais e informações sobre a configuração de rede da vítima, mesmo que ela esteja atrás de um firewall ou NAT.
Além disso tudo, coleta tipo de conexão, largura de banda efetiva, medições de tempo de ida e volta na rede, resolução de tela, profundidade de cor, orientação, fontes disponíveis e informações sobre plugins do navegador.
Depois de coletar tudo isso, o script serializa em formato JSON, que é um formato de dados estruturado e fácil de processar, e manda de volta pro servidor via POST no mesmo endpoint, mas agora com um parâmetro adicional “act=log”. Depois de enviar, o navegador é redirecionado para “about:blank” para minimizar a chance da vítima perceber o que aconteceu.
Por que essa técnica é perigosa
A implicação tática disso é clara: com esse perfil detalhado do sistema, os operadores conseguem identificar se estão em uma máquina virtual, sandbox ou ambiente de análise, e podem evitar revelar as funcionalidades completas do malware nesses casos.
Eles também conseguem selecionar melhor as vítimas e direcionar payloads específicos baseado nas capacidades do sistema. E como tudo isso acontece via processos legítimos de navegador usando HTTP padrão, fica muito mais difícil de detectar – para sistemas de segurança que só olham o tráfego de rede, parece que o Chrome está só fazendo requisições web normais.
Lumma mantém estratégia híbrida de ataque
O interessante é que, apesar desse upgrade, o malware mantém os protocolos de comunicação antigos. Eles ainda transmitem os parâmetros tradicionais de comando e controle usando WinHTTP APIs, que são funções do Windows para fazer requisições HTTP de baixo nível.
Os parâmetros incluem o “uid” que identifica o operador e a campanha específica do Lumma, e o “cid” que marca recursos adicionais ativados.
Então é uma estratégia híbrida mesmo, uma abordagem em camadas: mantém o sistema antigo funcionando para compatibilidade com a infraestrutura existente e todas as ferramentas que os operadores já usam, mas adiciona essa nova capacidade de fingerprinting para melhorar substancialmente a coleta de inteligência sobre as vítimas.
Grupo mantém perfil baixo após doxxing
Pelo que a Trend observou também, a presença deles em fóruns underground diminuiu bastante. Tem contas falsas no Telegram se passando por canais legítimos do Lumma, criando confusão no ecossistema. Os novos samples até contêm domínios de comando e controle desatualizados, incluindo alguns já bloqueados pela Microsoft através de sinkholing.
Isso contrasta bastante com as práticas anteriores deles, que eram bem mais sofisticadas em termos de rotação de domínios e segurança operacional.
A avaliação da Trend, com confiança média, é que os operadores estão mantendo perfil baixo intencionalmente, provavelmente para evitar chamar atenção de autoridades e concorrentes, mas continuam operando de forma mais cautelosa.
Não parece que eles fecharam as portas, mas sim que estão esperando o momento certo para voltar com tudo.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.