Lumma: malware esperto in trigonometria
Topic
Approfondimenti
Trending
tutti

Lumma: malware esperto in trigonometria

L'info-stealer Lumma rileva la presenza di sandbox, usando la trigonometria per calcolare se il mouse viene spostato da un utente umano.
Lumma: malware esperto in trigonometria
Sicurezza Antivirus
L'info-stealer Lumma rileva la presenza di sandbox, usando la trigonometria per calcolare se il mouse viene spostato da un utente umano.
Bing Image Creator

Lumma è un noto info-stealer, offerto in abbonamento, che permette di rubare numerosi dati da browser e applicazioni. Una delle tecniche usate per aggirare la rilevazione prevede il calcolo della posizione del puntatore del mouse. In base al risultato, il malware stabilisce se è stato eseguito in una sandbox o una macchina virtuale. Un’altra funzionalità permette invece di ripristinare i cookie di sessione di Google.

Lumma usa la trigonometria

Lumma è un info-stealer MaaS (Malware-as-a-Service) offerto in abbonamento (da 250 a 1.000 dollari/mese). Può rubare password, cookie, numeri delle carte di credito e informazioni dai wallet di criptovalute. La versione 4.0 include varie tecniche di offuscamento del codice e una innovativa tecnica anti-sandbox che sfrutta la trigonometria.

L’obiettivo è verificare se il sistema infetto viene controllato da un utente o se è stato simulato in un ambiente virtuale (soluzione molto comune tra i ricercatori di sicurezza). Per rilevare l’attività umana viene determinata la posizione iniziale del puntatore del mouse e le successive quattro posizioni.

Le cinque posizioni, identificate tramite coordinate x e y, sono considerati vettori euclidei. Ad esempio, se le posizioni sono P1, P2, P3, P4 e P5, i vettori sono P12, P23, P34 e P45. Nel codice del malware è presente la formula per il calcolo dell’angolo tra due vettori consecutivi. Se il valore è inferiore a 45 gradi, Lumma stabilisce che i movimenti del mouse non sono simulati dal software e quindi prosegue l’esecuzione. In caso contrario ferma le sue attività.

Lo sviluppatore del malware ha recentemente annunciato un’altra funzionalità disponibile per l’abbonamento Corporate (1.000 dollari/mese). Lumma può ripristinare i cookie di sessione di Google e quindi accedere all’account anche se l’utente ha effettuato il logout e la sessione è scaduta.

Non è noto se viene sfruttata una vulnerabilità. Se Google non troverà una soluzione efficace, gli utenti non potranno fare nulla per evitare il furto dell’account. Possono però evitare di scaricare file da fonti poco affidabili.

Fonte: Bleeping Computer

Pubblicato il 22 nov 2023

Link copiato negli appunti

Ti potrebbe interessare

Cancella i tuoi dati dal web all'istante con Incogni

Cancella i tuoi dati dal web all'istante con Incogni
Norton Antivirus 360 Deluxe al 58% di SCONTO: un REGALO

Norton Antivirus 360 Deluxe al 58% di SCONTO: un REGALO
Bitdefender Antivirus Free e Total Security: recensione 2024

Bitdefender Antivirus Free e Total Security: recensione 2024
Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto

Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto
Cancella i tuoi dati dal web all'istante con Incogni

Cancella i tuoi dati dal web all'istante con Incogni
Norton Antivirus 360 Deluxe al 58% di SCONTO: un REGALO

Norton Antivirus 360 Deluxe al 58% di SCONTO: un REGALO
Bitdefender Antivirus Free e Total Security: recensione 2024

Bitdefender Antivirus Free e Total Security: recensione 2024
Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto

Offerta lancio Kaspersky Premium: protezione totale al 56% di sconto
Luca Colantuoni
Pubblicato il
22 nov 2023
Link copiato negli appunti