LummaC2 Kötü Amaçlı Yazılım Yeni Trigonometri Tabanlı Anti-Sandbox Tekniğini Kullanıyor

Outpost24 güvenlik araştırmacısı Alberto Marín, paylaşılan teknik bir raporda, yöntemin "insan fare aktivitesi tespit edilene kadar numunenin patlamasını geciktirmek" için tasarlandığını söyledi.

C programlama dilinde yazılan LummaC2, Aralık 2022'den beri yeraltı forumlarında satılıyor. Kötü amaçlı yazılım, o zamandan beri kontrol akışı düzleştirme yoluyla analiz etmeyi zorlaştıran ve hatta ek yükler sağlamasına izin veren yinelemeli güncellemeler aldı.

LummaC2'nin (v4.0) mevcut sürümü, müşterilerinin ek bir gizleme mekanizması olarak bir şifreleme cihazı kullanmasını ve ham haliyle sızdırılmasını önlemesini gerektiriyor.

Dikkate değer bir diğer güncelleme, sızan uç noktadaki insan davranışını tespit etmek için trigonometriye güvenilmesidir.

Marín, "Bu teknik, insan aktivitesini tespit etmek için imlecin farklı konumlarını kısa bir aralıkta dikkate alıyor ve fare hareketlerini gerçekçi bir şekilde taklit etmeyen çoğu analiz sisteminde patlamayı etkili bir şekilde önlüyor" dedi.

Bunu yapmak için, önceden tanımlanmış 50 milisaniyelik bir uyku aralığından sonra mevcut imleç konumunu beş kez çıkarır ve yakalanan her konumun bir öncekinden farklı olup olmadığını kontrol eder. İşlem, tüm ardışık imleç konumları farklı olana kadar süresiz olarak tekrarlanır.

Beş imleç konumunun tümü (P0, P1, P2, P3 ve P4) gereksinimleri karşıladığında, LummaC2 bunları Öklid vektörleri olarak ele alır ve iki ardışık vektör (P01-P12, P12-P23 ve P23-P34) arasında oluşan açıyı hesaplar.

Marín, "Hesaplanan tüm açılar 45º'den düşükse, LummaC2 v4.0 'insan' fare davranışını tespit ettiğini düşünüyor ve yürütmeye devam ediyor" dedi.

"Ancak, hesaplanan açılardan herhangi biri 45º'den büyükse, kötü amaçlı yazılım, 300 milisaniyelik bir süre içinde fare hareketi olmasını sağlayarak ve işlenecek 5 yeni imleç konumunu tekrar yakalayarak işlemi yeniden başlatacaktır."

Gelişme, güvenliği ihlal edilmiş sistemlerden çok çeşitli hassas verileri çıkarmak için tasarlanmış BbyStealer, Trap Stealer, Predator AIEpsilon Stealer, Nova Sentinel ve Sayler RAT gibi yeni bilgi hırsızları ve uzaktan erişim truva atlarının ortaya çıkmasıyla ortaya çıkıyor.

Aktif olarak sürdürülen bir proje olan Predator AI, AWS, PayPal, Razorpay ve Twilio gibi birçok popüler bulut hizmetine saldırmak için kullanılabilmesinin yanı sıra "aracın kullanımını kolaylaştırmak" için bir ChatGPT API'si eklemesiyle de dikkat çekiyor.

Marín, "Hizmet olarak kötü amaçlı yazılım (MaaS) modeli ve hazır şeması, ortaya çıkan tehdit aktörlerinin karmaşık ve kazançlı siber saldırılar gerçekleştirmesi için tercih edilen yöntem olmaya devam ediyor" dedi.

"Bilgi hırsızlığı, MaaS alanında önemli bir odak noktasıdır ve hem kuruluşlar hem de bireyler için önemli mali kayıplara yol açabilecek önemli bir tehdidi temsil etmektedir."

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği