Le malware voleur connu sous le nom de LummaC2 (alias Lumma Stealer) propose désormais une nouvelle technique anti-bac à sable qui exploite le principe mathématique de la trigonométrie pour échapper à la détection et exfiltrer des informations précieuses des hôtes infectés.
La méthode est conçue pour « retarder la détonation de l’échantillon jusqu’à ce qu’une activité humaine de souris soit détectée », a déclaré Alberto Marín, chercheur en sécurité chez Outpost24. dit dans un rapport technique partagé avec The Hacker News.
Écrit en langage de programmation C, LummaC2 est vendu sur des forums clandestins depuis décembre 2022. Le malware a depuis reçu des mises à jour itératives qui rendent plus difficile l’analyse via l’aplatissement du flux de contrôle et lui permettent même de fournir des charges utiles supplémentaires.
La version actuelle de LummaC2 (v4.0) oblige également ses clients à utiliser un crypteur comme mécanisme de dissimulation supplémentaire, sans parler de l’empêcher d’être divulgué sous sa forme brute.
Une autre mise à jour remarquable est le recours à la trigonométrie pour détecter le comportement humain sur le point final infiltré.
« Cette technique prend en compte différentes positions du curseur dans un court intervalle pour détecter l’activité humaine, empêchant ainsi efficacement la détonation dans la plupart des systèmes d’analyse qui n’émulent pas de manière réaliste les mouvements de la souris », a déclaré Marín.
Pour ce faire, il extrait la position actuelle du curseur cinq fois après un intervalle de sommeil prédéfini de 50 millisecondes et vérifie si chaque position capturée est différente de la précédente. Le processus est répété indéfiniment jusqu’à ce que toutes les positions consécutives du curseur diffèrent.
Une fois que les cinq positions du curseur (P0, P1, P2, P3 et P4) répondent aux exigences, LummaC2 les traite comme Vecteurs euclidiens et calcule l’angle formé entre deux vecteurs consécutifs (P01-P12, P12-P23 et P23-P34).
« Si tous les angles calculés sont inférieurs à 45º, alors LummaC2 v4.0 considère qu’il a détecté le comportement « humain » de la souris et continue son exécution », a déclaré Marín.
« Cependant, si l’un des angles calculés est supérieur à 45º, le malware recommencera le processus en s’assurant qu’il y a un mouvement de la souris dans une période de 300 millisecondes et en capturant à nouveau 5 nouvelles positions du curseur à traiter. »
Ce développement intervient au milieu de l’émergence de nouvelles souches de voleurs d’informations et de chevaux de Troie d’accès à distance tels que BbyStealer, Voleur de piège, IA prédateuret Voleur Epsilon, Sentinelle Novaet Sayler RAT qui sont conçus pour extraire un large éventail de données sensibles à partir de systèmes compromis.
Predator AI, un projet activement maintenu, se distingue également par le fait qu’il peut être utilisé pour attaquer de nombreux services cloud populaires tels que AWS, PayPal, Razorpay et Twilio, en plus d’incorporer une API ChatGPT pour « rendre l’outil plus facile à utiliser ». utilisation », a noté SentinelOne plus tôt ce mois-ci.
« Le modèle MaaS (malware-as-a-service) et son système facilement disponible restent la méthode préférée des acteurs de menace émergents pour mener des cyberattaques complexes et lucratives », a déclaré Marín.
« Le vol d’informations est une priorité importante dans le domaine du MaaS, [and] représente une menace considérable pouvant entraîner des pertes financières substantielles tant pour les organisations que pour les individus.