Um malware conhecido como LummaC2 agora apresenta uma nova técnica anti-sandbox que aproveita o princípio matemático da trigonometria para evitar a detecção e exfiltrar informações valiosas de hosts infectados.
Nova técnica do malware LummaC2
Essa nova técnica foi projetada para “atrasar a detonação da amostra até que a atividade humana do rato seja detectada”, de acordo com o pesquisador de segurança do Outpost24, Alberto Marín, em um relatório técnico compartilhado com o The Hacker News. Escrito na linguagem de programação C, o LummaC2 é vendido em fóruns clandestinos desde dezembro de 2022. Desde então, o malware recebeu atualizações iterativas que dificultam a análise por meio do nivelamento do fluxo de controle e até permitem que ele entregue cargas úteis adicionais.
A versão atual do LummaC2 (v4.0) também exige que seus clientes usem um criptografador como um mecanismo adicional de ocultação, sem mencionar que evita que ele vaze em sua forma bruta. Outra atualização é a confiança na trigonometria para detectar o comportamento humano no endpoint infiltrado.
Essa técnica leva em consideração diferentes posições do cursor em um curto intervalo para detectar a atividade humana, evitando efetivamente a detonação na maioria dos sistemas de análise que não emulam os movimentos do mouse de forma realista.
Marín
Para isso, extrai a posição atual do cursor cinco vezes após um intervalo predefinido de 300 milissegundos e verifica se cada posição capturada é diferente da anterior. O processo é repetido indefinidamente até que todas as posições consecutivas do cursor sejam diferentes. Uma vez que todas as cinco posições do cursor (P0, P1, P2, P3 e P4) atendam aos requisitos, LummaC2 as trata como vetores euclidianos e calcula o ângulo formado entre dois vetores consecutivos (P01-P12, P12-P23 e P23- P34).
Se todos os ângulos calculados forem inferiores a 45º, então o LummaC2 v4.0 considera que detectou o comportamento ‘humano’ do rato e continua com a sua execução.
No entanto, se algum dos ângulos calculados for maior que 45º, o malware iniciará o processo novamente, garantindo que haja movimento do mouse em um período de 300 milissegundos e capturando novamente 5 novas posições do cursor para processar.
Novas ameaças
O desenvolvimento ocorre em meio ao surgimento de novos tipos de ladrões de informações e trojans de acesso remoto, como BbyStealer , Trap Stealer , Predator AI e Sayler RAT, projetados para extrair uma ampla gama de dados confidenciais de sistemas comprometidos.
O Predator AI, um projeto mantido ativamente, também se destaca pelo fato de poder ser usado para atacar muitos serviços de nuvem populares, como AWS, PayPal, Razorpay e Twilio, além de incorporar uma API ChatGPT para “tornar a ferramenta mais fácil de usar”, observou SentinelOne no início deste mês.
O roubo de informações é um foco significativo no domínio do MaaS, [e] representa uma ameaça considerável que pode levar a perdas financeiras substanciais para organizações e indivíduos.
Marín