MKD-CIRT National Centre for Computer Incident Response
Злонамерниот софтвер за крадци познат како LummaC2 (познато како Lumma Stealer) сега има нова техника против песок, која го користи математичкиот принцип на тригонометријата за избегнувајте откривање и ексфилтрирајте вредни информации од заразените домаќини.
Методот е дизајниран да го „одложи детонацијата на примерокот додека не се открие активност на човечко глувче,“; Истражувачот за безбедност на Outpost24, Алберто Марин said во техничкиот извештај споделен со The Hacker News.
Напишан на програмскиот јазик C, LummaC2 се продава на подземни форуми од декември 2022 година. Злонамерниот софтвер оттогаш received iterative updates што ја отежнува анализата преку контролното израмнување на протокот, па дури и дозволува да испорача дополнителни носивост.
Тековната верзија на LummaC2 (v4.0), исто така, бара од своите клиенти да користат crypter како дополнителен механизам за прикривање, да не зборуваме спречи протекување во сурова форма.
Друго значајно ажурирање е потпирањето на тригонометријата за откривање на човечкото однесување на инфилтрираната крајна точка.
“Оваа техника ги зема предвид различните позиции на курсорот во краток интервал за да открие човечка активност, ефикасно спречувајќи ја детонацијата во повеќето системи за анализа кои реално не ги емулираат движењата на глувчето”. рече Марин.
За да го стори тоа, ја извлекува моменталната позиција на курсорот пет пати по претходно дефиниран интервал од 300 милисекунди и проверува дали секоја снимена позиција е различна од претходната. Процесот се повторува на неодредено време додека не се разликуваат сите последователни позиции на курсорот.
Штом сите пет позиции на курсорот (P0, P1, P2, P3 и P4) ќе ги исполнат барањата, LummaC2 ги третира како Euclidean vectors и calculates the angle што се формира помеѓу два последователни вектори (P01-P12, P12-P23 и P23-P34).
“Ако сите пресметани агли се пониски од 45º, тогаш LummaC2 v4.0 смета дека открил ‘човечки’ однесување на глувчето и продолжува со неговото извршување,” рече Марин.
„Меѓутоа, ако некој од пресметаните агли е поголем од 45º, малициозниот софтвер ќе го започне процесот одново со тоа што ќе се осигура дека има движење на глувчето во период од 300 милисекунди и ќе фати повторно 5 нови позиции на курсорот за обработка.“
Развојот доаѓа во време на појавата на нови видови на крадци на информации и тројанци со далечински пристап како што се BbyStealer, Trap Stealer, Predator AI, и Sayler RAT кои се дизајнирани да извлечат широк опсег на чувствителни податоци од компромитирани системи.
Predator AI, активно одржуван проект, е забележлив и по фактот што може да се користи за напад на многу популарни облак услуги како што се AWS, PayPal, Razorpay и Twilio, покрај тоа што вклучува ChatGPT API за „да ја олесни алатката“. да се користи,” SentinelOne забележа претходно овој месец.
„Моделот на малициозен софтвер како услуга (MaaS) и неговата лесно достапна шема, останува да биде префериран метод за новите актери за закана да извршат сложени и профитабилни сајбер напади“, рече Марин.
“Кражбата на информации е значаен фокус во доменот на MaaS, [и] претставува значителна закана што може да доведе до значителни финансиски загуби и за организациите и за поединците.”
Извор: thehackernews