LummaC2 Kötü Amaçlı Yazılım Yeni Trigonometri Tabanlı Anti-Sandbox Tekniğini Kullanıyor
LummaC2 olarak bilinen hırsız kötü amaçlı yazılımı, artık tespit edilmekten kaçınmak ve virüslü ana bilgisayarlardan değerli bilgileri sızdırmak için trigonometrinin matematiksel ilkesinden yararlanan yeni bir anti-sandbox tekniğine sahiptir.
Outpost24 güvenlik araştırmacısı Alberto Marín, paylaşılan teknik bir raporda, yöntemin "insan fare aktivitesi tespit edilene kadar numunenin patlamasını geciktirmek" için tasarlandığını söyledi.
C programlama dilinde yazılan LummaC2, Aralık 2022'den beri yeraltı forumlarında satılıyor. Kötü amaçlı yazılım, o zamandan beri kontrol akışı düzleştirme yoluyla analiz etmeyi zorlaştıran ve hatta ek yükler sağlamasına izin veren yinelemeli güncellemeler aldı.
LummaC2'nin (v4.0) mevcut sürümü, müşterilerinin ek bir gizleme mekanizması olarak bir şifreleme cihazı kullanmasını ve ham haliyle sızdırılmasını önlemesini gerektiriyor.
Dikkate değer bir diğer güncelleme, sızan uç noktadaki insan davranışını tespit etmek için trigonometriye güvenilmesidir.
Marín, "Bu teknik, insan aktivitesini tespit etmek için imlecin farklı konumlarını kısa bir aralıkta dikkate alıyor ve fare hareketlerini gerçekçi bir şekilde taklit etmeyen çoğu analiz sisteminde patlamayı etkili bir şekilde önlüyor" dedi.
Bunu yapmak için, önceden tanımlanmış 50 milisaniyelik bir uyku aralığından sonra mevcut imleç konumunu beş kez çıkarır ve yakalanan her konumun bir öncekinden farklı olup olmadığını kontrol eder. İşlem, tüm ardışık imleç konumları farklı olana kadar süresiz olarak tekrarlanır.
Beş imleç konumunun tümü (P0, P1, P2, P3 ve P4) gereksinimleri karşıladığında, LummaC2 bunları Öklid vektörleri olarak ele alır ve iki ardışık vektör (P01-P12, P12-P23 ve P23-P34) arasında oluşan açıyı hesaplar.
Marín, "Hesaplanan tüm açılar 45º'den düşükse, LummaC2 v4.0 'insan' fare davranışını tespit ettiğini düşünüyor ve yürütmeye devam ediyor" dedi.
"Ancak, hesaplanan açılardan herhangi biri 45º'den büyükse, kötü amaçlı yazılım, 300 milisaniyelik bir süre içinde fare hareketi olmasını sağlayarak ve işlenecek 5 yeni imleç konumunu tekrar yakalayarak işlemi yeniden başlatacaktır."
Gelişme, güvenliği ihlal edilmiş sistemlerden çok çeşitli hassas verileri çıkarmak için tasarlanmış BbyStealer, Trap Stealer, Predator AI, Epsilon Stealer, Nova Sentinel ve Sayler RAT gibi yeni bilgi hırsızları ve uzaktan erişim truva atlarının ortaya çıkmasıyla ortaya çıkıyor.
Aktif olarak sürdürülen bir proje olan Predator AI, AWS, PayPal, Razorpay ve Twilio gibi birçok popüler bulut hizmetine saldırmak için kullanılabilmesinin yanı sıra "aracın kullanımını kolaylaştırmak" için bir ChatGPT API'si eklemesiyle de dikkat çekiyor.
Marín, "Hizmet olarak kötü amaçlı yazılım (MaaS) modeli ve hazır şeması, ortaya çıkan tehdit aktörlerinin karmaşık ve kazançlı siber saldırılar gerçekleştirmesi için tercih edilen yöntem olmaya devam ediyor" dedi.
"Bilgi hırsızlığı, MaaS alanında önemli bir odak noktasıdır ve hem kuruluşlar hem de bireyler için önemli mali kayıplara yol açabilecek önemli bir tehdidi temsil etmektedir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı