Lumma bilgi çalma kötü amaçlı yazılımları artık güvenlik yazılımı tarafından tespit etmek için ilginç bir taktik kullanıyor - kötü amaçlı yazılımın gerçek bir makinede veya bir antivirüs sanal alanında çalışıp çalışmadığını belirlemek için trigonometri kullanan fare hareketlerinin ölçülmesi.
Lumma (veya Lummac2), 250 $ ile 1.000 $ arasındaki bir abonelik için siber suçlulara kiralanan bir hizmet olarak kötü amaçlı bilgi birikimidir. Kötü amaçlı yazılımlar, şifreler, çerezler, kredi kartları ve kripto para birimi cüzdanlarından gelen bilgiler de dahil olmak üzere Windows 7-11'de çalışan web tarayıcılarından ve uygulamalardan veri çalmasına izin verir.
Kötü amaçlı yazılım ailesi, Aralık 2022'de ilk kez siber suç forumlarında satın alınabilir ve birkaç ay sonra Kela, yeraltı hack topluluğunda popüler olmaya başladığını bildirdi.
Yeni Lumma Stealer sürüm 4.0'a bakan yeni bir Outpost24 raporu, kötü amaçlı yazılımın nasıl tespit ettiği ve örneklerinin otomatik analizini engellediği konusunda birkaç önemli güncelleme buldu.
Bu kaçırma teknikleri, kontrol akışı düzleştirme, insan-fare aktivitesi tespiti, XOR şifreli dizeler, dinamik konfigürasyon dosyaları için destek ve tüm yapılarda kripto kullanımının uygulanmasını içerir.
Yukarıdaki mekanizmalardan en ilginç olanı, insan davranışını tespit etmek için trigonometri kullanılmasıdır, bu da enfekte sistemin sanal bir ortamda simüle edilmediğini gösterir.
Kötü amaçlı yazılım, fare imlecinin 'getCursor ()' işlevini kullanarak ana bilgisayar üzerindeki konumunu izler ve 50 milisaniye aralıklarla beş farklı konumdan oluşan bir dizi kaydeder.
Daha sonra, bu pozisyonları Öklid vektörleri olarak analiz etmek için trigonometri uygular, tespit edilen hareketten oluşan açıları ve vektör büyüklüklerini hesaplar.
Hesaplanan vektör açıları 45 derecenin altındaysa, Lumma kötü amaçlı yazılım hareketlerinin yazılım tarafından taklit edilmediğini varsayar ve yürütmenin devam etmesine izin verir.
Açılar 45 derece ve daha yüksekse, kötü amaçlı yazılım tüm kötü amaçlı davranışları durdurur, ancak insan benzeri davranış tespit edilene kadar fare hareketini izlemeye devam eder.
Lumma'nın sandbox karşıtı mekanizmasında 45 derecelik bir eşik seçimi, kötü amaçlı yazılım geliştiricisi tarafından belirlenen keyfi bir değerdir ve muhtemelen otomatik analiz araçlarının çalışması üzerine ampirik verilere veya araştırmaya dayanmaktadır.
Lumma operasyonu ile ilgili bir diğer ilginç gelişme, yürütülebilir ürün yazılımını, ödemeyen bilgisayar korsanlarına ve tehdit analistlerine sızmaktan korumak için bir krykor kullanma gerekliliğidir.
Lumma, şifreli olup olmadığını belirlemek için yürütülebilir dosyadaki belirli bir ofsette belirli bir değeri otomatik olarak kontrol eder ve eğer değilse bir uyarı sunar.
İncelemeye karşı son bir savunma hattı olarak Lumma 4.0, opak gibi, programın mantığını gereksiz yere karmaşıklaştıran öngörüyor ve karışıklık ve analiz hataları oluşturmak için fonksiyonel kod segmentleri içinde enjekte edilen ölü kod blokları gibi.
Lumma Stealer'ın en son versiyonu, kaçınma analizine daha fazla vurgu gösteriyor ve mekanizmalarını inceleme ve anlama girişimlerini engellemek ve karmaşıklaştırmak için tasarlanmış çoklu koruyucu önlem katmanları sunuyor.
Bilgisayar korsanları arka kapı Rusya Devleti, veri hırsızlığı için endüstriyel kuruluşlar
Discord hala kötü amaçlı yazılım aktivitesi - şimdi APT'ler eğlenceye katılıyor
Yüzlerce kötü niyetli python paketi, hassas verileri çalmayı buldu
Yeni Bunnyloader tehdidi, hizmet olarak zengin bir kötü amaçlı yazılım olarak ortaya çıkıyor
Gamaredon'un Littledrifter USB kötü amaçlı yazılımları Ukrayna'nın ötesine yayılıyor
Kaynak: Bleeping Computer