Αυτό το κακόβουλο λογισμικό χρησιμοποιεί τριγωνομετρία για να εμποδίσει τον εντοπισμό και τον αποκλεισμό του

By

Marizas Dimitris

On

Νοέ 22, 2023

Η αντίληψη ότι οι χάκερ εξελίσσουν συνεχώς τις τακτικές τους έχει αποδειχθεί για άλλη μια φορά, αφού ένα νέο στέλεχος χρήστη κακόβουλου λογισμικού βρέθηκε ότι χρησιμοποιεί τριγωνομετρία για να αποφύγει τον εντοπισμό.

Οι ερευνητές κυβερνοασφάλειας Outpost24 ανέλυσαν πρόσφατα την πιο πρόσφατη έκδοση του Lumma Stealer, ενός γνωστού κακόβουλου λογισμικού κλοπής πληροφοριών που μπορεί να αρπάζει κωδικούς πρόσβασης αποθηκευμένους σε δημοφιλή προγράμματα περιήγησης, cookies, πληροφορίες πιστωτικών καρτών και δεδομένα που σχετίζονται με πορτοφόλια κρυπτονομισμάτων. Το Lumma προσφέρεται ως υπηρεσία, έναντι συνδρομής που κυμαίνεται μεταξύ $250 και $1.000.

Στην ανάλυσή του, οι ερευνητές του Outpost24 ανακάλυψαν ότι η τέταρτη έκδοση του Lumma συνοδεύεται από μια σειρά από νέες τεχνικές αποφυγής, που του επιτρέπουν να λειτουργεί δίπλα στις περισσότερες υπηρεσίες προστασίας από ιούς ή τελικών σημείων. Αυτές οι τεχνικές περιλαμβάνουν συσκότιση ισοπέδωσης

ροής

ελέγχου, ανίχνευση δραστηριότητας ανθρώπου-ποντικιού, κρυπτογραφημένες συμβολο

σειρές

XOR, υποστήριξη για αρχεία δυναμικής διαμόρφωσης και επιβολή χρήσης κρυπτογράφησης σε όλες τις εκδόσεις.

Χρήση κίνησης του ποντικιού

Από αυτές τις τεχνικές, η ανίχνευση της δραστηριότητας ανθρώπου-ποντικιού είναι η πιο ενδιαφέρουσα, καθώς έτσι ο infostealer μπορεί να δει εάν εκτελείται σε ένα sandbox προστασίας από ιούς. Όπως εξηγούν οι ερευνητές, το κακόβουλο

λογισμικό

παρακολουθεί τη θέση του δρομέα και καταγράφει μια σειρά από πέντε διακριτές θέσεις σε διαστήματα των 50 χιλιοστών του δευτερολέπτου. Στη συνέχεια, χρησιμοποιώντας την τριγωνομετρία, αναλύει αυτές τις θέσεις ως ευκλείδεια διανύσματα, υπολογίζοντας τις γωνίες και τα μεγέθη των διανυσμάτων που σχηματίζουν την ανιχνευόμενη κίνηση.

Οι διανυσματικές γωνίες κάτω από 45 μοίρες σημαίνουν ότι το ποντίκι λειτουργεί από άνθρωπο. Εάν οι γωνίες είναι υψηλότερες, ο infostealer υποθέτει ότι εκτελείται σε sandbox και σταματά κάθε δραστηριότητα. Επαναλαμβάνει τη λειτουργία του μόλις προσδιορίσει ξανά τη δραστηριότητα του ποντικιού ως ανθρώπινη.

Το όριο των 45 μοιρών είναι αυθαίρετο, δήλωσαν περαιτέρω οι ερευνητές, υποδηλώνοντας ότι πιθανότατα βασίζεται σε ερευνητικά δεδομένα.

Οι Infostealers είναι ένα δημοφιλές εργαλείο hacking, καθώς επιτρέπουν στους παράγοντες απειλών να αποκτήσουν πρόσβαση σε σημαντικές υπηρεσίες, όπως λογαριασμούς μέσων κοινωνικής δικτύωσης ή λογαριασμούς

email

. Επιπλέον, με την κλοπή τραπεζικών δεδομένων ή δεδομένων που σχετίζονται με πορτοφόλι κρυπτονομισμάτων, οι εισβολείς μπορούν να κλέψουν κεφάλαια θυμάτων και μάρκες κρυπτονομισμάτων.