É risaputo che gli hacker evolvono continuamente le proprie tattiche, ed è stato appena scoperto che un nuovo ceppo di malware utilizza la trigonometria per evitare il rilevamento.
I ricercatori di Cybersecurity Outpost24 hanno recentemente analizzato l'ultima versione di Lumma Stealer, un noto malware infostealer in grado di rubare le password memorizzate nei browser più diffusi, i cookie, le informazioni delle carte di credito e i dati relativi ai portafogli di criptovalute. Lumma viene offerto come servizio, per un costo di abbonamento che varia tra i 250 e i 1.000 dollari.
Nella sua analisi, i ricercatori di Outpost24 hanno scoperto che la quarta versione di Lumma è dotata di una serie di nuove tecniche di evasione, che consentono al software di operare accanto alla maggior parte dei servizi antivirus o di protezione degli endpoint. Queste tecniche includono l'offuscamento dell'appiattimento del flusso di controllo, il rilevamento delle attività umane, le stringhe crittografate XOR, il supporto per i file di configurazione dinamici e l'imposizione dell'uso della crittografia su tutte le build.
Il movimento del mouse
Di queste tecniche, il rilevamento dell'attività del mouse è la più interessante, poiché è così che l'infostealer può capire se sta girando in una sandbox antivirus. Come spiegano i ricercatori, il malware traccia la posizione del cursore e registra una serie di cinque posizioni distinte a intervalli di 50 millisecondi. Quindi, utilizzando la trigonometria, analizza queste posizioni come vettori euclidei, calcolando gli angoli e le grandezze del vettore che formano il movimento rilevato.
Gli angoli dei vettori inferiori a 45 gradi indicano che il mouse è manovrato da un essere umano. Se l'ampiezza degli angoli è superiore, l'infostealer presume di essere eseguito in una sandbox e interrompe tutte le attività. Riprende le operazioni quando determina che l'attività del mouse è nuovamente umana.
La soglia di 45 gradi è arbitraria, hanno precisato i ricercatori, suggerendo che probabilmente si basa su dati di ricerca.
Gli infostealer sono uno strumento di hacking molto diffuso, in quanto consentono agli attori delle minacce di accedere a servizi importanti, come gli account dei social media o le caselle di posta elettronica. Inoltre, rubando i dati bancari o i dati relativi ai portafogli delle criptovalute, gli aggressori possono rubare i fondi delle vittime e i token delle criptovalute.
