Hırsız kötü amaçlı yazılım olarak bilinen LummaC2 (aka Lumma Stealer) artık tespitten kaçınmak ve virüs bulaşmış ana bilgisayarlardan değerli bilgileri sızdırmak için trigonometrinin matematik ilkesinden yararlanan yeni bir anti-sandbox tekniği sunuyor.
Outpost24 güvenlik araştırmacısı Alberto Marín, The Hacker News ile paylaşılan bir teknik raporda, yöntemin “insan fare aktivitesi tespit edilene kadar numunenin patlamasını geciktirmek” için tasarlandığını söyledi.
C programlama dilinde yazılan LummaC2, Aralık 2022’den bu yana yeraltı forumlarında satılıyor. Kötü amaçlı yazılım, o zamandan beri, kontrol akışını düzleştirme yoluyla analiz etmeyi zorlaştıran ve hatta ek yükler sunmasına olanak tanıyan yinelemeli güncellemeler aldı.
LummaC2’nin (v4.0) mevcut sürümü ayrıca müşterilerinin ek bir gizleme mekanizması olarak bir şifreleyici kullanmasını ve bunun ham haliyle sızdırılmasını önlemesini gerektiriyor.
Bir başka dikkate değer güncelleme, sızılan uç noktadaki insan davranışını tespit etmek için trigonometriye güvenilmesidir.
Marín, “Bu teknik, insan aktivitesini tespit etmek için kısa bir aralıkta imlecin farklı konumlarını dikkate alarak, fare hareketlerini gerçekçi bir şekilde taklit etmeyen çoğu analiz sisteminde patlamayı etkili bir şekilde önlüyor” dedi.
Bunu yapmak için, önceden tanımlanmış 300 milisaniyelik bir aralıktan sonra mevcut imleç konumunu beş kez çıkarır ve yakalanan her konumun bir öncekinden farklı olup olmadığını kontrol eder. İşlem, ardışık tüm imleç konumları farklı olana kadar süresiz olarak tekrarlanır.
Beş imleç konumunun tümü (P0, P1, P2, P3 ve P4) gereksinimleri karşıladığında, LummaC2 bunları Öklid vektörleri olarak ele alır ve ardışık iki vektör (P01-P12, P12-P23 ve P23-) arasında oluşan açıyı hesaplar. P34).
Marín, “Hesaplanan tüm açılar 45°’den düşükse LummaC2 v4.0, ‘insan’ fare davranışını tespit ettiğini kabul eder ve uygulamaya devam eder” dedi.
“Ancak hesaplanan açılardan herhangi biri 45 dereceden büyükse, kötü amaçlı yazılım 300 milisaniyelik bir sürede fare hareketinin olmasını sağlayarak ve işlemek için 5 yeni imleç konumunu yeniden yakalayarak süreci yeniden başlatacak.”
Bu gelişme, BbyStealer, Trap Stealer, Predator AI ve Sayler RAT gibi, güvenliği ihlal edilmiş sistemlerden çok çeşitli hassas verileri çıkarmak için tasarlanmış yeni bilgi hırsızı türlerinin ve uzaktan erişim truva atlarının ortaya çıktığı bir dönemde gerçekleşti.
Aktif olarak sürdürülen bir proje olan Predator AI, AWS, PayPal, Razorpay ve Twilio gibi birçok popüler bulut hizmetine saldırmak için kullanılabilmesi ve ayrıca “aracı daha kolay hale getirmek” için bir ChatGPT API’si içermesiyle de dikkat çekiyor. kullanın,” SentinelOne bu ayın başlarında belirtti.
Marín, “Hizmet olarak kötü amaçlı yazılım (MaaS) modeli ve onun kullanıma hazır planı, yeni ortaya çıkan tehdit aktörlerinin karmaşık ve kazançlı siber saldırıları gerçekleştirmek için tercih ettiği yöntem olmaya devam ediyor” dedi.
“Bilgi hırsızlığı MaaS alanında önemli bir odak noktasıdır, [and] hem kuruluşlar hem de bireyler için önemli mali kayıplara yol açabilecek önemli bir tehdidi temsil ediyor.”