Το κακόβουλο λογισμικό Lumma Stealer χρησιμοποιεί πλέον τριγωνομετρία για να αποφύγει τον εντοπισμό

Το κακόβουλο λογισμικό Lumma που κλέβει πληροφορίες χρησιμοποιεί τώρα μια ενδιαφέρουσα τακτική για να αποφύγει τον εντοπισμό από λογισμικό ασφαλείας – τη μέτρηση των κινήσεων του ποντικιού χρησιμοποιώντας τριγωνομετρία για να προσδιορίσει εάν το κακόβουλο λογισμικό εκτελείται σε πραγματικό μηχάνημα ή σε sandbox προστασίας από ιούς.

Το Lumma (ή LummaC2) είναι ένας κλέφτης πληροφοριών κακόβουλου λογισμικού ως υπηρεσία που ενοικιάζεται σε εγκληματίες του κυβερνοχώρου για συνδρομή μεταξύ 250 και 1.000 $. Το κακόβουλο λογισμικό επιτρέπει στις επιθέσεις να κλέβουν δεδομένα από προγράμματα περιήγησης ιστού και εφαρμογές που εκτελούνται στα

Windows

7-11, συμπεριλαμβανομένων κωδικών πρόσβασης, cookies, πιστωτικών καρτών και πληροφοριών από πορτοφόλια κρυπτονομισμάτων.

Η οικογένεια κακόβουλου λογισμικού έγινε διαθέσιμη για αγορά σε φόρουμ για το έγκλημα στον κυβερνοχώρο για πρώτη φορά τον Δεκέμβριο του 2022 και λίγους μήνες αργότερα, η KELA ανέφερε ότι είχε ήδη αρχίσει να γίνεται δημοφιλής στην υπόγεια κοινότητα hacking.

Οι προγραμματιστές κακόβουλου λογισμικού στρέφονται στην τριγωνομετρία

Ενα νέο

Έκθεση Outpost24

κοιτάζοντας τη νέα έκδοση 4.0 του Lumma Stealer, βρήκαμε αρκετές σημαντικές ενημερώσεις σχετικά με τον τρόπο με τον οποίο το κακόβουλο λογισμικό αποφεύγει τον εντοπισμό και εμποδίζει την αυτοματοποιημένη ανάλυση των δειγμάτων του.

Αυτές οι τεχνικές αποφυγής περιλαμβάνουν συσκότιση ισοπέδωσης ροής ελέγχου, ανίχνευση δραστηριότητας ανθρώπου-ποντικιού, κρυπτογραφημένες συμβολο

σειρές

XOR, υποστήριξη για αρχεία δυναμικής διαμόρφωσης και επιβολή χρήσης κρυπτογράφησης σε όλες τις εκδόσεις.

Ο πιο ενδιαφέρον από τους παραπάνω μηχανισμούς είναι η χρήση της τριγωνομετρίας για την ανίχνευση της ανθρώπινης συμπεριφοράς, υποδεικνύοντας ότι το μολυσμένο σύστημα δεν προσομοιώνεται σε εικονικό περιβάλλον.

Το κακόβουλο λογισμικό παρακολουθεί τη θέση του δρομέα του ποντικιού στον κεντρικό υπολογιστή χρησιμοποιώντας τη συνάρτηση «GetCursor()» και καταγράφει μια σειρά από πέντε διακριτές θέσεις σε διαστήματα των 50 χιλιοστών του δευτερολέπτου.

Στη συνέχεια, εφαρμόζει τριγωνομετρία για να αναλύσει αυτές τις θέσεις ως ευκλείδεια διανύσματα, υπολογίζοντας τις γωνίες και τα μεγέθη των διανυσμάτων που σχηματίζονται από την ανιχνευόμενη κίνηση.

Εάν οι υπολογισμένες διανυσματικές γωνίες είναι κάτω από 45 μοίρες, ο Lumma υποθέτει ότι οι κινήσεις κακόβουλου λογισμικού δεν εξομοιώνονται από λογισμικό, επιτρέποντας τη συνέχιση της εκτέλεσης.

Εάν οι γωνίες είναι 45 μοίρες και άνω, το κακόβουλο λογισμικό σταματά κάθε κακόβουλη συμπεριφορά, αλλά συνεχίζει να παρακολουθεί την κίνηση του ποντικιού μέχρι να εντοπιστεί συμπεριφορά που μοιάζει με άνθρωπο.

Η επιλογή ενός ορίου 45 μοιρών στον μηχανισμό anti-sandbox της Lumma είναι μια αυθαίρετη τιμή που ορίζεται από τον προγραμματιστή του κακόβουλου λογισμικού και πιθανότατα βασίζεται σε εμπειρικά δεδομένα ή έρευνα σχετικά με τη λειτουργία αυτοματοποιημένων εργαλείων ανάλυσης.

Μια άλλη ενδιαφέρουσα εξέλιξη σχετικά με τη λειτουργία Lumma είναι η απαίτηση χρήσης κρυπτογράφησης για την προστασία του εκτελέσιμου κακόβουλου λογισμικού από τη

διαρροή

σε χάκερ που δεν πληρώνουν και σε αναλυτές απειλών.

Το Lumma ελέγχει τώρα αυτόματα για μια συγκεκριμένη τιμή σε μια συγκεκριμένη μετατόπιση στο εκτελέσιμο αρχείο για να προσδιορίσει εάν είναι κρυπτογραφημένη και παρέχει μια προειδοποίηση εάν

δεν είναι

.

Ως τελευταία γραμμή άμυνας ενάντια στον έλεγχο, το Lumma 4.0 ενσωματώνει εμ

πόδια

στον κώδικά του, όπως αδιαφανή κατηγορήματα που περιπλέκουν άσκοπα τη λογική του προγράμματος και μπλοκ νεκρού κώδικα που εισάγονται σε τμήματα λειτουργικού κώδικα για να δημιουργήσουν σύγχυση και σφάλματα ανάλυσης.

Η τελευταία έκδοση του Lumma stealer επιδεικνύει αυξημένη έμφαση στην αποφυγή της ανάλυσης, εισάγοντας πολλαπλά στρώματα προστατευτικών μέτρων που έχουν σχεδιαστεί για να εμποδίζουν και να περιπλέκουν οποιεσδήποτε προσπάθειες ανατομής και κατανόησης των μηχανισμών του.