De stealer-malware bekend als LummaC2 (ook bekend als Lumma Stealer) beschikt nu over een nieuwe anti-sandbox-techniek die gebruik maakt van het wiskundige principe van trigonometrie om detectie te omzeilen en waardevolle informatie van geïnfecteerde hosts te exfiltreren.
De methode is ontworpen om “de ontploffing van het monster uit te stellen totdat menselijke muisactiviteit wordt gedetecteerd”, zei beveiligingsonderzoeker Alberto Marín van Outpost24 in een technisch rapport gedeeld met The Hacker News.
LummaC2 is geschreven in de programmeertaal C en wordt sinds december 2022 verkocht op ondergrondse fora. De malware heeft sindsdien iteratieve updates ontvangen die het moeilijker maken om te analyseren via afvlakking van de controlestroom en het zelfs mogelijk maken om extra payloads te leveren.
De huidige versie van LummaC2 (v4.0) vereist ook dat klanten een crypter gebruiken als extra verbergingsmechanisme, om nog maar te zwijgen van het voorkomen dat deze in zijn ruwe vorm lekt.
Een andere opmerkelijke update is de afhankelijkheid van trigonometrie om menselijk gedrag op het geïnfiltreerde eindpunt te detecteren.
“Deze techniek houdt rekening met verschillende posities van de cursor in een kort interval om menselijke activiteit te detecteren, waardoor ontploffing effectief wordt voorkomen in de meeste analysesystemen die muisbewegingen niet realistisch emuleren”, aldus Marín.
Om dit te doen, extraheert het de huidige cursorpositie vijf keer na een vooraf gedefinieerd slaapinterval van 50 milliseconden, en controleert het of elke vastgelegde positie verschilt van de voorgaande. Het proces wordt voor onbepaalde tijd herhaald totdat alle opeenvolgende cursorposities verschillen.
Zodra alle vijf cursorposities (P0, P1, P2, P3 en P4) aan de vereisten voldoen, behandelt LummaC2 ze als Euclidische vectoren en berekent de hoek die wordt gevormd tussen twee opeenvolgende vectoren (P01-P12, P12-P23 en P23- P34).
“Als alle berekende hoeken kleiner zijn dan 45 graden, gaat LummaC2 v4.0 ervan uit dat het ‘menselijk’ muisgedrag heeft gedetecteerd en gaat het verder met de uitvoering ervan”, aldus Marín.
“Als een van de berekende hoeken echter groter is dan 45 graden, zal de malware het proces helemaal opnieuw starten door ervoor te zorgen dat er binnen een periode van 300 milliseconden muisbewegingen plaatsvinden en opnieuw vijf nieuwe cursorposities vast te leggen om te verwerken.”
De ontwikkeling vindt plaats te midden van de opkomst van nieuwe soorten informatiestelers en trojans voor externe toegang, zoals BbyStealer, Trap Stealer, Predator AI en Epsilon Stealer, Nova Sentinel en Sayler RAT, die zijn ontworpen om een breed scala aan gevoelige gegevens uit gecompromitteerde systemen te extraheren. .
Predator AI, een actief onderhouden project, valt ook op door het feit dat het kan worden gebruikt om veel populaire cloudservices aan te vallen, zoals AWS, PayPal, Razorpay en Twilio, naast de integratie van een ChatGPT API om “de tool gemakkelijker te maken”. gebruiken”, merkte SentinelOne eerder deze maand op.
“Het Malware-as-a-Service (MaaS)-model en het direct beschikbare systeem blijven de voorkeursmethode voor opkomende bedreigingsactoren om complexe en lucratieve cyberaanvallen uit te voeren”, aldus Marín.
“Informatiediefstal is een belangrijk aandachtspunt binnen het domein van MaaS, [and] vertegenwoordigt een aanzienlijke bedreiging die kan leiden tot aanzienlijke financiële verliezen voor zowel organisaties als individuen.”
