Lumma është një info-stealer i njohur, i cili ju lejon të vidhni të dhëna të shumta nga shfletuesit dhe aplikacionet. Një nga teknikat e përdorura për të anashkaluar zbulimin përfshin llogaritjen e pozicionit të treguesit të miut. Bazuar në rezultatin, malware përcakton nëse funksiononte në një sandbox ose në një makinë virtuale. Një veçori tjetër ju lejon të rivendosni skedarët e sesioneve të Google.
Lumma përdor trigonometrinë
Lumma është një info-stealer MaaS (Malware-as-a-Service) i ofruar mbi bazë abonimi (nga 250 dollarë në 1000 dollarë në muaj). Ai mund të vjedhë fjalëkalime, biskota, numra të kartave të kreditit dhe informacion nga kuletat e kriptomonedhave. Versioni 4.0 përfshin teknika të ndryshme të mjegullimit të kodit dhe një teknikë inovative anti-sandbox që përdor trigonometrinë.
Qëllimi është të verifikohet nëse sistemi i infektuar kontrollohet nga një përdorues ose nëse ai është simuluar në një mjedis virtual (një zgjidhje shumë e zakonshme midis studiuesve të sigurisë). Për të zbuluar aktivitetin njerëzor, përcaktohet pozicioni fillestar i treguesit të miut dhe katër pozicionet pasuese.
Pesë pozicionet, të identifikuara nga koordinatat x dhe y, konsiderohen vektorë euklidianë. Për shembull, nëse pozicionet janë P1, P2, P3, P4 dhe P5, vektorët janë P12, P23, P34 dhe P45. Kodi i malware përmban formulën për llogaritjen e këndit midis dy vektorëve të njëpasnjëshëm. Nëse vlera është më e vogël se 45 gradë, Lumma përcakton që lëvizjet e miut nuk janë simuluar nga softueri dhe vazhdon ekzekutimin. Përndryshe, ajo ndalon aktivitetet e saj.
Zhvilluesi i malware kohët e fundit njoftoi një veçori tjetër të disponueshme për abonimin e Korporatës (1000 dollarë në muaj). Lumma mund të rivendosë skedarët e sesionit të Google dhe për këtë arsye të hyjë në llogari edhe nëse përdoruesi ka dalë dhe sesioni ka skaduar.
Nuk dihet nëse një cenueshmëri është duke u shfrytëzuar. Nëse Google nuk gjen një zgjidhje efektive, përdoruesit nuk do të jenë në gjendje të bëjnë asgjë për të parandaluar vjedhjen e llogarisë. Megjithatë, ata mund të shmangin shkarkimin e skedarëve nga burime jo të besueshme.
Discussion about this post