Questo malware usa la trigonometria per evitare di essere bloccato
Gli hacker hanno trovato un modo ingegnoso per individuare le sandbox per la sicurezza informatica
É risaputo che gli hacker evolvono continuamente le proprie tattiche, ed è stato appena scoperto che un nuovo ceppo di malware utilizza la trigonometria per evitare il rilevamento.
I ricercatori di Cybersecurity Outpost24 hanno recentemente analizzato l'ultima versione di Lumma Stealer, un noto malware infostealer in grado di rubare le password memorizzate nei browser più diffusi, i cookie, le informazioni delle carte di credito e i dati relativi ai portafogli di criptovalute. Lumma viene offerto come servizio, per un costo di abbonamento che varia tra i 250 e i 1.000 dollari.
Nella sua analisi, i ricercatori di Outpost24 hanno scoperto che la quarta versione di Lumma è dotata di una serie di nuove tecniche di evasione, che consentono al software di operare accanto alla maggior parte dei servizi antivirus o di protezione degli endpoint. Queste tecniche includono l'offuscamento dell'appiattimento del flusso di controllo, il rilevamento delle attività umane, le stringhe crittografate XOR, il supporto per i file di configurazione dinamici e l'imposizione dell'uso della crittografia su tutte le build.
Il movimento del mouse
Di queste tecniche, il rilevamento dell'attività del mouse è la più interessante, poiché è così che l'infostealer può capire se sta girando in una sandbox antivirus. Come spiegano i ricercatori, il malware traccia la posizione del cursore e registra una serie di cinque posizioni distinte a intervalli di 50 millisecondi. Quindi, utilizzando la trigonometria, analizza queste posizioni come vettori euclidei, calcolando gli angoli e le grandezze del vettore che formano il movimento rilevato.
Gli angoli dei vettori inferiori a 45 gradi indicano che il mouse è manovrato da un essere umano. Se l'ampiezza degli angoli è superiore, l'infostealer presume di essere eseguito in una sandbox e interrompe tutte le attività. Riprende le operazioni quando determina che l'attività del mouse è nuovamente umana.
La soglia di 45 gradi è arbitraria, hanno precisato i ricercatori, suggerendo che probabilmente si basa su dati di ricerca.
Gli infostealer sono uno strumento di hacking molto diffuso, in quanto consentono agli attori delle minacce di accedere a servizi importanti, come gli account dei social media o le caselle di posta elettronica. Inoltre, rubando i dati bancari o i dati relativi ai portafogli delle criptovalute, gli aggressori possono rubare i fondi delle vittime e i token delle criptovalute.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Giulia Di Venere è Editor Senior per TechRadar Italia e lavora con orgoglio al progetto da quando è nato.
Laureata in Lingue e Letterature Straniere all’Università Ca’ Foscari di Venezia, è una grande appassionata di cinema, libri, cucina e cinofilia.
Da sempre considera la scrittura lo strumento più efficace per comunicare, e scrivere per fare informazione, ogni giorno, è per lei motivo di grande soddisfazione.
Copre una grande varietà di tematiche, dagli smartphone ai gadget tecnologici per la casa, gestendo la pubblicazione dei contenuti editoriali e coordinando le attività della redazione.
Dalla personalità un po’ ambivalente, ama viaggiare tanto quanto passare il tempo libero nella tranquillità della propria casa, in compagnia del suo cane e di un buon libro.