Logo TecMundo
Segurança

Lumma Stealer, ladrão que invade Google Chrome, volta a atacar

Malware retoma operações com técnica de fingerprinting que mapeia sistemas e dificulta detecção por segurança tradicional

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule17/11/2025, às 20:30

updateAtualizado em 17/11/2025, às 21:49

O Lumma Stealer, malware ladrão de informações, começa a dar sinais de vida após vazamento de dados de membros do grupo. Na época, os cibercriminosos perderam clientes, que migraram para concorrentes como Vidar e StealC. Desde o dia 20 de outubro, a Trend Micro começou a registrar o ressurgimento das atividades do Lumma, mas com um novo comportamento mais sofisticado.

Agora, o infostealer implementou técnicas de browser fingerprinting, que basicamente coleta uma quantidade absurda de dados sobre o ambiente da vítima por meio do navegador. Os cibercriminosos não mudaram o modus operandi completamente – só adicionaram mais uma camada à sua operação já existente.

smart_display

Nossos vídeos em destaque

ataques-lumma.png
Quantidade de ataques via Lumma Stealer cresceram e se mantiveram consistentes desde outubro. Imagem: Trend Micro.

Como funciona a nova técnica do Lumma Stealer

O esquema funciona assim: o malware faz uma injeção de processo, especificamente usando uma técnica chamada "remote thread injection". Eles pegam um arquivo que parece legítimo, o MicrosoftEdgeUpdate.exe, e por meio dele criam uma thread, uma linha de execução, dentro de processos legítimos do Chrome que já estão rodando.

Com isso, o malware consegue executar com a identidade do Chrome. Para os sistemas de segurança, parece que é só o navegador fazendo suas coisas normais. É uma camuflagem bem eficaz porque dificulta muito a detecção por sistemas de monitoramento de rede.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Depois, ele se comunica com um endpoint novo no servidor de comando e controle, especificamente em "/api/set_agent". Um endpoint é basicamente um endereço específico no servidor onde você manda requisições.

Nessa primeira conexão via HTTP GET, o malware envia alguns parâmetros na URL: um identificador único de 32 caracteres em hexadecimal que marca aquela infecção específica, um token de autenticação para validar a comunicação, e informações sobre qual navegador está sendo usado.

Browser fingerprinting: a nova arma do malware

O impressionante é a quantidade e qualidade das informações captadas pelo script de fingerprinting. Isso porque ele funciona como se estivesse pegando as digitais de um computador. Ele coleta detalhes do sistema operacional, informações de hardware como número de núcleos da CPU e memória do dispositivo, características gerais do navegador, mas vai muito além disso.

Eles usam WebGL fingerprinting, que explora a API gráfica do navegador. WebGL é usado para renderizar gráficos 3D na web, e cada combinação de placa de vídeo, driver e sistema operacional processa essas informações de um jeito ligeiramente diferente.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético
browser-fingerprinting.png
Funcionamento do código do browser fingerprinting. Imagem: Trend Micro.

O malware consegue extrair o vendor da placa gráfica, o nome do renderizador e as extensões suportadas, criando uma assinatura única daquela máquina. Tem também o canvas fingerprinting, que usa o elemento canvas do HTML5 para fazer o navegador desenhar textos e formas.

Por causa de pequenas diferenças na forma como cada sistema renderiza fontes, anti-aliasing e cores, o resultado final tem variações mínimas mas detectáveis – como se várias pessoas desenhassem o mesmo desenho, mas cada uma com um traço levemente diferente.

Técnicas avançadas de coleta de dados

A análise de contexto de áudio usa a Web Audio API para coletar informações sobre como o sistema processa áudio, incluindo taxa de amostragem e configurações de canais. E tem a parte de WebRTC, que é especialmente interessante porque essa tecnologia foi originalmente feita para comunicação em tempo real, tipo chamadas de vídeo no navegador, mas acaba vazando informações sobre as interfaces de rede da máquina.

Através dos ICE candidates e dados do SDP, que são basicamente informações sobre como estabelecer uma conexão de rede, o malware consegue descobrir endereços IP locais e informações sobre a configuração de rede da vítima, mesmo que ela esteja atrás de um firewall ou NAT.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Além disso tudo, coleta tipo de conexão, largura de banda efetiva, medições de tempo de ida e volta na rede, resolução de tela, profundidade de cor, orientação, fontes disponíveis e informações sobre plugins do navegador.

Depois de coletar tudo isso, o script serializa em formato JSON, que é um formato de dados estruturado e fácil de processar, e manda de volta pro servidor via POST no mesmo endpoint, mas agora com um parâmetro adicional "act=log". Depois de enviar, o navegador é redirecionado para "about:blank" para minimizar a chance da vítima perceber o que aconteceu.

Por que essa técnica é perigosa

A implicação tática disso é clara: com esse perfil detalhado do sistema, os operadores conseguem identificar se estão em uma máquina virtual, sandbox ou ambiente de análise, e podem evitar revelar as funcionalidades completas do malware nesses casos.

Eles também conseguem selecionar melhor as vítimas e direcionar payloads específicos baseado nas capacidades do sistema. E como tudo isso acontece via processos legítimos de navegador usando HTTP padrão, fica muito mais difícil de detectar – para sistemas de segurança que só olham o tráfego de rede, parece que o Chrome está só fazendo requisições web normais.

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

Lumma mantém estratégia híbrida de ataque

O interessante é que, apesar desse upgrade, o malware mantém os protocolos de comunicação antigos. Eles ainda transmitem os parâmetros tradicionais de comando e controle usando WinHTTP APIs, que são funções do Windows para fazer requisições HTTP de baixo nível.

Os parâmetros incluem o "uid" que identifica o operador e a campanha específica do Lumma, e o "cid" que marca recursos adicionais ativados.

Então é uma estratégia híbrida mesmo, uma abordagem em camadas: mantém o sistema antigo funcionando para compatibilidade com a infraestrutura existente e todas as ferramentas que os operadores já usam, mas adiciona essa nova capacidade de fingerprinting para melhorar substancialmente a coleta de inteligência sobre as vítimas.

Grupo mantém perfil baixo após doxxing

Pelo que a Trend observou também, a presença deles em fóruns underground diminuiu bastante. Tem contas falsas no Telegram se passando por canais legítimos do Lumma, criando confusão no ecossistema. Os novos samples até contêm domínios de comando e controle desatualizados, incluindo alguns já bloqueados pela Microsoft através de sinkholing.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

Isso contrasta bastante com as práticas anteriores deles, que eram bem mais sofisticadas em termos de rotação de domínios e segurança operacional.

A avaliação da Trend, com confiança média, é que os operadores estão mantendo perfil baixo intencionalmente, provavelmente para evitar chamar atenção de autoridades e concorrentes, mas continuam operando de forma mais cautelosa.

Não parece que eles fecharam as portas, mas sim que estão esperando o momento certo para voltar com tudo.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Perguntas Frequentes

O que é o Lumma Stealer e por que ele voltou a ser uma ameaça?
O Lumma Stealer é um malware do tipo infostealer, ou seja, especializado em roubar informações dos sistemas infectados. Após um período de inatividade causado por vazamentos de dados de seus operadores, ele voltou a operar desde outubro com técnicas mais sofisticadas, como o browser fingerprinting, tornando-se mais difícil de detectar por sistemas de segurança tradicionais.
Como funciona a técnica de browser fingerprinting usada pelo Lumma Stealer?
O browser fingerprinting coleta uma grande quantidade de dados sobre o ambiente da vítima por meio do navegador. Isso inclui informações do sistema operacional, hardware, navegador, placa gráfica (via WebGL), renderização de textos (canvas fingerprinting), processamento de áudio (Web Audio API) e rede (WebRTC). Esses dados criam uma "assinatura digital" única da máquina, permitindo identificar e rastrear o dispositivo com precisão.
De que forma o Lumma Stealer se camufla para evitar detecção?
O malware utiliza uma técnica chamada "remote thread injection", injetando código malicioso em processos legítimos do navegador Chrome, como o MicrosoftEdgeUpdate.exe. Isso permite que ele opere com a identidade do navegador, dificultando a detecção por sistemas de monitoramento de rede, já que o tráfego parece ser apenas atividade normal do Chrome.
Quais dados o Lumma Stealer coleta da vítima?
O malware coleta uma ampla gama de informações, incluindo número de núcleos da CPU, memória, resolução de tela, profundidade de cor, fontes instaladas, plugins do navegador, tipo de conexão, largura de banda, tempo de resposta da rede, além de dados de WebGL, canvas, áudio e WebRTC. Essas informações são serializadas em JSON e enviadas ao servidor de comando e controle.
Por que a técnica de fingerprinting é considerada perigosa?
Com o perfil detalhado do sistema da vítima, os operadores do malware conseguem identificar se estão em ambientes de análise como máquinas virtuais ou sandboxes, evitando revelar todo o comportamento malicioso. Além disso, podem direcionar ataques mais eficazes com base nas capacidades do sistema, tudo isso sem levantar suspeitas, já que o tráfego parece legítimo.
O Lumma Stealer abandonou suas técnicas antigas?
Não. Apesar de incorporar o fingerprinting, o Lumma Stealer mantém sua infraestrutura e protocolos antigos, como o uso das APIs WinHTTP para comunicação com o servidor. Isso mostra uma estratégia híbrida, que combina compatibilidade com ferramentas existentes e novas capacidades para melhorar a coleta de dados.
O grupo por trás do Lumma ainda está ativo?
Sim, embora com perfil mais discreto. Após o vazamento de dados, a presença do grupo em fóruns underground diminuiu, e há indícios de que estão operando com mais cautela. A Trend Micro acredita que eles não encerraram as atividades, mas estão aguardando o momento certo para retomar operações em maior escala.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA