Вредонос Lumma Stealer измеряет движения мыши для защиты от обнаружения

Вредоносная программа Lumma, похищающая информацию, теперь использует интересную тактику, чтобы избежать обнаружения защитным программным обеспечением (ПО) – измерение движений мыши с помощью тригонометрии, чтобы определить, работает ли вредонос на реальной машине или в антивирусной песочнице.

Lumma (или LummaC2) – это вредоносное ПО как услуга, похищающее информацию, которое сдаётся в аренду киберпреступникам за подписку от 250 до 1000 долларов. Вредоносное ПО позволяет атакам похищать данные из веб-браузеров и приложений, работающих на Windows 7–11, включая пароли, файлы cookie, кредитные карты и информацию из криптовалютных кошельков.

Семейство вредоносных программ впервые стало доступно для покупки на форумах по киберпреступности в декабре 2022 года, а несколько месяцев спустя KELA сообщила, что оно уже начало становиться популярным в подпольном хакерском сообществе.

В новом отчёте Outpost24 о новой версии Lumma Stealer 4.0 обнаружено несколько важных обновлений о том, как вредоносное ПО уклоняется от обнаружения и препятствует автоматическому анализу его образцов.

Эти методы уклонения включают в себя уплощение запутывания потока управления, обнаружение активности человека и мыши, зашифрованные строки XOR, поддержку файлов динамической конфигурации и принудительное использование шифрования во всех сборках.

Наиболее интересным из вышеперечисленных механизмов является использование тригонометрии для обнаружения человеческого поведения, а это указывает на то, что заражённая система не моделируется в виртуальной среде.

Вредоносная программа отслеживает положение курсора мыши на хосте с помощью функции GetCursor и записывает серию из пяти различных позиций с интервалом в 50 миллисекунд.

Затем вредонос применяет тригонометрию для анализа этих положений как евклидовых векторов, вычисляя углы и векторные величины, которые формируются в результате обнаруженного движения.

Если рассчитанные углы вектора меньше 45 градусов, Lumma предполагает, что движения вредоносного ПО не эмулируются ПО, что позволяет продолжить выполнение.

Если углы составляют 45 градусов и выше, вредоносная программа останавливает все вредоносные действия, но продолжает отслеживать движения мыши до тех пор, пока не будет обнаружено поведение, подобное человеческому.

Выбор порога в 45 градусов в механизме защиты от песочницы Lumma является произвольным значением, установленным разработчиком вредоносного ПО и, скорее всего, основан на эмпирических данных или исследованиях работы инструментов автоматического анализа.

Ещё одним интересным событием, касающимся операции Lumma, является требование использования шифровальщика для защиты исполняемого файла вредоносного ПО от утечки к неплатежеспособным хакерам и аналитикам угроз.

Lumma теперь автоматически проверяет наличие определённого значения по определённому смещению в исполняемом файле, чтобы определить, зашифрован ли он, и выдает предупреждение, если это не так.

В качестве последней линии защиты от проверки Lumma 4.0 включает в свой код препятствия, такие как непрозрачные предикаты, которые излишне усложняют логику программы, а также блоки мертвого кода, внедряемые в сегменты функционального кода для создания путаницы и ошибок анализа.

Последняя версия похитителя Lumma Stealer демонстрирует повышенное внимание к уклонению от анализа, вводя несколько уровней защитных мер, призванных помешать и усложнить любые попытки проанализировать и понять его механизмы.