O malware ladrão conhecido como LummaC2 (também conhecido como Lumma Stealer) agora apresenta uma nova técnica anti-sandbox que utiliza o princípio matemático da trigonometria para evadir detecção e exfiltrar informações valiosas de hosts infectados.
O método é projetado para "atrasar a detonação da amostra até que a atividade do mouse humano seja detectada", disse o pesquisador de segurança da Outpost24, Alberto Marín, em um relatório técnico compartilhado com o The Hacker News.
Escrito em linguagem de programação C, o LummaC2 tem sido vendido em fóruns clandestinos desde dezembro de 2022.
O malware desde então recebeu atualizações iterativas que o tornam mais difícil de analisar por meio do controle de achatamento de fluxo e até mesmo permite que ele entregue payloads.
A versão atual do LummaC2 (v4.0) também exige que seus clientes usem um crypter como um mecanismo adicional de ocultação, sem mencionar que previne que ele seja vazado em sua forma bruta.
Outra atualização notável é a dependência da trigonometria para detectar comportamento humano no ponto final infiltrado.
"Esta técnica leva em consideração diferentes posições do cursor em um curto intervalo para detectar atividade humana, efetivamente prevenindo a detonação na maioria dos sistemas de análise que não emulam movimentos do mouse de forma realista", disse Marín.
Para fazer isso, ele extrai a posição atual do cursor cinco vezes após um intervalo predefinido de 300 milissegundos, e verifica se cada posição capturada é diferente da anterior.
O processo é repetido indefinidamente até que todas as posições do cursor diferem consecutivamente.
Uma vez que todas as cinco posições do cursor (P0, P1, P2, P3 e P4) atendem aos requisitos, o LummaC2 os trata como vetores euclidianos e calcula o ângulo que é formado entre dois vetores consecutivos (P01-P12, P12-P23 e P23-P34).
"Se todos os ângulos calculados são menores que 45º, então o LummaC2 v4.0 considera que detectou o comportamento do 'mouse humano' e continua com sua execução", disse Marín.
"Entretanto, se qualquer um dos ângulos calculados for maior que 45º, o malware iniciará todo o processo novamente garantindo que haja movimento do mouse em um período de 300 milissegundos e capturando novamente 5 novas posições do cursor para processar."
Este desenvolvimento ocorre em meio ao surgimento de novas cepas de ladrões de informações e trojans de acesso remoto, como BbyStealer, Trap Stealer, Predator AI e Sayler RAT, que são projetados para extrair uma ampla gama de dados sensíveis de sistemas comprometidos.
Predator AI, um projeto ativamente mantido, também é notável pelo fato de que pode ser usado para atacar muitos serviços populares de nuvem, como AWS, PayPal, Razorpay e Twilio, além de incorporar uma API ChatGPT para "tornar a ferramenta mais fácil de usar", observou a SentinelOne no início deste mês.
"O modelo de malware como serviço (MaaS) e seu esquema facilmente disponível, continuam sendo o método preferido dos atores de ameaças emergentes para realizar ataques cibernéticos complexos e lucrativos", disse Marín.
"O roubo de informações é um foco significativo dentro do domínio do MaaS, [e] representa uma ameaça considerável que pode levar a perdas financeiras substanciais para organizações e indivíduos."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...