0
0
No início de 2025, o Lumma Stealer estava amplamente em uso por grupos criminosos, afetando setores como telecom, saúde, financeiro e marketing, até uma operação de aplicação da lei em maio interromper grande parte da atividade. após um período de silêncio, novas variantes começaram a ressurgir, e a análise mostra como abordagens baseadas em machine learning ajudam a detectar essas amostras sofisticadas.
Por que confiar só em assinaturas não é suficiente
Lumma Stealer evolui rápido, empregando ofuscação, técnicas anti-sandbox e abuso de utilitários legítimos, tornando assinaturas estáticas insuficientes para identificação confiável. essas técnicas incluem uso de instaladores NSIS, scripts AutoIt ofuscados, e verificações de ambiente que fazem o malware encerrar a execução quando identifica laboratórios de análise. análises recentes mostram que novas amostras chegam com baixa taxa de detecção inicial em serviços como VirusTotal, o que confirma a necessidade de técnicas dinâmicas e comportamentais.
A abordagem da sandbox com ML explicada de forma prática
A solução combina múltiplas camadas de proteção, aplicando modelos de ML tanto em varreduras rápidas inline quanto em análises profundas, estáticas e dinâmicas. a peça central é uma cloud sandbox que executa amostras suspeitas em um ambiente Windows isolado e grava o comportamento em tempo de execução, como árvores de processos com chamadas de API e interações de DLL, modificações no registro, operações de arquivo e atividade de rede. esses artefatos são transformados em embeddings, que alimentam um classificador baseado em arquitetura transformer adaptada para árvores, permitindo detectar padrões comportamentais mesmo quando o código está ofuscado ou quando o hash do arquivo é inédito.
O que a análise técnica do sample revelou
A amostra analisada, identificada pelo hash 87118baadfa7075d7b9d2aff75d8e730, foi classificada como um instalador NSIS que embutia um payload em AutoIt ofuscado. durante a extração apareciam um script .nsi, um batch ofuscado renomeado como .m4a, e blobs comprimidos para a próxima fase. o fluxo inclui descompressão em memória usando APIs do Windows, decrypt de payloads LZ e execução do binário extraído sem gravar o PE no disco, técnica que dificulta a detecção por scanners tradicionais.
Principais técnicas de evasão observadas
entre as técnicas documentadas na investigação estão, mas não se limitam a, verificação do nome do computador e do usuário para evitar ambientes padronizados de análise, checagem por processos típicos de VMs e sandboxes como vmtoolsd.exe e VboxTray.exe, anti-debugging baseado em discrepâncias de tempo e velocidade de execução, tentativas de ping para domínios falsos para testar conectividade de análise, e DLL unhooking para restaurar bytes originais de APIs, desfazendo intercepções de produtos de segurança. muitas dessas medidas fazem com que o malware baixe sua atividade ou se autodestrua quando suspeita estar em um ambiente analítico.
Como o ML melhora a detecção, sem depender de IOCs
modelos que aprendem a estrutura de process trees e combinam vetores de características de runtime, como modificações de registro e padrões de rede, conseguem generalizar comportamentos maliciosos, mesmo quando o código muda ou é ofuscado. a arquitetura transformer voltada para árvores permite capturar relações topológicas entre chamadas e subprocessos, reduzindo overfitting e aumentando a chance de identificar variantes desconhecidas, o que se provou útil para sinalizar o sample analisado como malicioso antes que assinaturas específicas existissem.
Implicações práticas para equipes de defesa
para equipes de segurança, isso traz algumas conclusões operacionais importantes, entre elas, priorizar detecções baseadas em comportamento, integrar sandboxing dinâmico com telemetria de rede e endpoint, e adotar ML interpretável que permita entender por que um artefato foi classificado como malicioso. além disso, fluxos de resposta devem contemplar amostras que não acionam detecção por assinatura, acionando investigação automática quando a sandbox relatar padrões suspeitos em process trees ou em operações de memória.
Recomendações para reduzir risco de infecção
usuários e administradores devem manter práticas básicas de higiene, tais como não abrir anexos desconhecidos, evitar execução de instaladores de fontes não confiáveis, aplicar princípio do menor privilégio em endpoints, e habilitar detecções comportamentais no stack de proteção. empresas devem complementar assinaturas com sandboxing em nuvem e modelos de ML que analisem comportamento, além de treinar equipes para investigar sinais de evasão observados nas sandboxes.
IOCs relevantes
hashes, domínios e assinaturas são úteis para correlações imediatas, veja os indicadores documentados na análise:
MD5 87118baadfa7075d7b9d2aff75d8e730, SHA-1 78da004e332be8eaa5e111c34d6db3a28abb9767, SHA-256 ff7a1388fa59a9e1b43c5c88a1ee30e4abcec21a39882812a045aa9d9b865170
domínios associados: annwt[.]xyz, ungryo[.]shop, vervzv[.]xyz, sorrij[.]top, prvqhm[.]shop, bardj[.]xyz, greqjfu[.]xyz
Conclusão
o ressurgimento do Lumma Stealer confirma que malwares modernos combinam ofuscação, abuso de ferramentas legítimas e detecção de ambientes analíticos para permanecerem operacionais. soluções que combinam análise estática, sandbox dinâmico e modelos de ML capazes de interpretar process trees e comportamento em tempo de execução ampliam a capacidade de identificar variantes novas, mitigando a dependência exclusiva de assinaturas. equipes de segurança devem evoluir suas defesas para priorizar sinais de comportamento, automatizar a investigação de amostras suspeitas e integrar telemetria de endpoint e rede para respostas mais rápidas.
Esse artigo tem informações retiradas do blog da Netskope. A Neotel é parceira da Netskope e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.