El malware ladrón conocido como LummaC2 (también conocido como Lumma Stealer) ahora presenta una nueva técnica anti-sandbox que aprovecha el principio matemático de la trigonometría para evadir la detección y filtrar información valiosa de los hosts infectados.
El método está diseñado para «retrasar la detonación de la muestra hasta que se detecte actividad del ratón humano», explicó el investigador de seguridad de Outpost24, Alberto Marín. dicho en un informe técnico compartido con The Hacker News.
Escrito en lenguaje de programación C, LummaC2 se vende en foros clandestinos desde diciembre de 2022. Desde entonces, el malware ha recibido actualizaciones iterativas que dificultan su análisis mediante el aplanamiento del flujo de control e incluso le permiten entregar cargas útiles adicionales.
La versión actual de LummaC2 (v4.0) también requiere que sus clientes utilicen un cifrador como mecanismo de ocultación adicional, sin mencionar que evita que se filtre en su forma original.
Otra actualización digna de mención es la dependencia de la trigonometría para detectar el comportamiento humano en el punto final infiltrado.
«Esta técnica toma en consideración diferentes posiciones del cursor en un intervalo corto para detectar actividad humana, evitando efectivamente la detonación en la mayoría de los sistemas de análisis que no emulan los movimientos del ratón de manera realista», dijo Marín.
Para hacerlo, extrae la posición actual del cursor cinco veces después de un intervalo de suspensión predefinido de 50 milisegundos y verifica si cada posición capturada es diferente de la anterior. El proceso se repite indefinidamente hasta que todas las posiciones consecutivas del cursor difieran.
Una vez que las cinco posiciones del cursor (P0, P1, P2, P3 y P4) cumplen con los requisitos, LummaC2 las trata como Vectores euclidianos y calcula el ángulo que se forma entre dos vectores consecutivos (P01-P12, P12-P23 y P23-P34).
«Si todos los ángulos calculados son inferiores a 45º, entonces LummaC2 v4.0 considera que ha detectado un comportamiento ‘humano’ del ratón y continúa con su ejecución», dijo Marín.
«Sin embargo, si alguno de los ángulos calculados es mayor que 45º, el malware comenzará el proceso nuevamente asegurándose de que haya movimiento del mouse en un período de 300 milisegundos y capturando nuevamente 5 nuevas posiciones del cursor para procesar».
El desarrollo se produce en medio de la aparición de nuevas cepas de ladrones de información y troyanos de acceso remoto como bbbystealer, Ladrón de trampas, IA depredadoray Ladrón de Epsilon, Nova Sentinely rata sayler que están diseñados para extraer una amplia gama de datos confidenciales de sistemas comprometidos.
Predator AI, un proyecto mantenido activamente, también destaca por el hecho de que puede usarse para atacar muchos servicios populares en la nube como AWS, PayPal, Razorpay y Twilio, además de incorporar una API ChatGPT para «hacer que la herramienta sea más fácil de usar». uso», señaló SentinelOne a principios de este mes.
«El modelo de malware como servicio (MaaS), y su esquema fácilmente disponible, sigue siendo el método preferido por los actores de amenazas emergentes para llevar a cabo ciberataques complejos y lucrativos», dijo Marín.
«El robo de información es un foco importante dentro del ámbito de MaaS, [and] representa una amenaza considerable que puede conducir a pérdidas financieras sustanciales tanto para las organizaciones como para los individuos».