Малварь Lumma, ворующая информацию из систем своих жертв, использует интересную тактику для уклонения от обнаружения. Вредонос измеряет движения мыши, используя тригонометрию, чтобы определить, работает он на реальной машине или в песочнице.
Lumma (он же LummaC2) представляет собой инфостилер, который продается по подписке и стоит от 250 до 1000 долларов США. Вредонос позволяет похищать данные из браузеров и приложений, работающих под управлением ОС Windows 7-11, включая пароли, файлы cookie, данные банковских карт и информацию криптовалютных кошельков. Впервые это семейство малвари появилось на хак-форумах в декабре 2022 года, и уже через несколько месяцев, начало набирать популярность в хакерском сообществе.
Как теперь сообщают в отчете аналитики компании Outpost24, новая версия Lumma 4.0 претерпела ряд существенных изменений в вопросах уклонения от обнаружения и автоматического анализа.
Помимо обфускации, XOR-шифрования строк, поддержки динамических конфигурационных файлов и принудительного использования шифрования во всех сборках, вредонос следит за движениями мыши, которые помогают понять, работает ли за компьютером живой человек.
Для этого малварь отслеживает положение курсора мыши с помощью функции GetCursor() и записывает пять различных положений с интервалом в 50 миллисекунд (P0, P1, P2, P3, P4).
Затем в дело вступает тригонометрия: малварь рассматривает собранные данные о положениях как векторы, вычисляя их углы и величины, которые образуются в результате движения.
Если углы векторов составляют менее 45 градусов, Lumma считает, что движения не эмулируются программно и продолжает работу. Если же углы составляют 45 градусов и более, малварь завершает все вредоносные действия, но продолжает отслеживать движения мыши до тех пор, пока не обнаружит действия, похожие на человеческие.
Исследователи полагают, что угол в 45 градусов – это произвольное значение, выбранное разработчиками малвари, основываясь на эмпирических данных или изучении работы средств для автоматического анализа.
Еще одной интересной особенностью Lumma является использования криптора для защиты исполняемого файла малвари от утечек. Так, вредонос автоматически проверяет наличие определенного значения в исполняемом файле, чтобы определить, зашифрован ли тот, и выдает предупреждение, если это не так.
