Le malware voleur d’informations Lumma utilise désormais une tactique intéressante pour échapper à la détection par les logiciels de sécurité : la mesure des mouvements de la souris à l’aide de la trigonométrie pour déterminer si le malware s’exécute sur une machine réelle ou sur un bac à sable antivirus.
Lumma (ou LummaC2) est un voleur d’informations sous forme de malware en tant que service loué à des cybercriminels pour un abonnement compris entre 250 et 1 000 dollars. Le malware permet aux attaques de voler des données des navigateurs Web et des applications fonctionnant sous Windows 7-11, notamment des mots de passe, des cookies, des cartes de crédit et des informations provenant de portefeuilles de crypto-monnaie.
La famille de logiciels malveillants est devenue disponible à l’achat sur les forums de cybercriminalité pour la première fois en décembre 2022 et, quelques mois plus tard, KELA a signalé qu’elle avait déjà commencé à devenir populaire dans la communauté clandestine des hackers.
Les développeurs de logiciels malveillants se tournent vers la trigonométrie
Un nouveau rapport Outpost24 examinant la nouvelle version 4.0 de Lumma Stealer a révélé plusieurs mises à jour importantes sur la manière dont le malware échappe à la détection et contrecarre l’analyse automatisée de ses échantillons.
Ces techniques d’évasion incluent l’obfuscation par aplatissement du flux de contrôle, la détection de l’activité humaine-souris, les chaînes cryptées XOR, la prise en charge des fichiers de configuration dynamiques et l’application de l’utilisation du chiffrement sur toutes les versions.
Le plus intéressant des mécanismes ci-dessus est l’utilisation de la trigonométrie pour détecter le comportement humain, indiquant que le système infecté n’est pas simulé dans un environnement virtuel.
Le malware suit la position du curseur de la souris sur l’hôte à l’aide de la fonction « GetCursor() » et enregistre une série de cinq positions distinctes à intervalles de 50 millisecondes.
Il applique ensuite la trigonométrie pour analyser ces positions en tant que vecteurs euclidiens, en calculant les angles et les magnitudes vectorielles formés à partir du mouvement détecté.
Si les angles vectoriels calculés sont inférieurs à 45 degrés, Lumma suppose que les mouvements du malware ne sont pas émulés par le logiciel, permettant ainsi à l’exécution de se poursuivre.
Si les angles sont de 45 degrés ou plus, le logiciel malveillant arrête tout comportement malveillant mais continue de surveiller les mouvements de la souris jusqu’à ce qu’un comportement semblable à celui d’un humain soit détecté.
Le choix d’un seuil de 45 degrés dans le mécanisme anti-sandbox de Lumma est une valeur arbitraire fixée par le développeur du malware et est probablement basée sur des données empiriques ou des recherches sur le fonctionnement d’outils d’analyse automatisés.
Un autre développement intéressant concernant l’opération Lumma est la nécessité d’utiliser un crypteur pour protéger le malware exécutable contre les fuites vers des pirates informatiques et des analystes de menaces non payants.
Lumma vérifie désormais automatiquement une valeur spécifique à un certain décalage dans le fichier exécutable pour déterminer si elle est cryptée et envoie un avertissement si ce n’est pas le cas.
Comme dernière ligne de défense contre un examen minutieux, Lumma 4.0 intègre des obstacles dans son code, comme des prédicats opaques qui compliquent inutilement la logique du programme, et des blocs de code mort injectés dans des segments de code fonctionnel pour créer de la confusion et des erreurs d’analyse.
La dernière version du voleur Lumma met davantage l’accent sur l’évasion de l’analyse, en introduisant plusieurs niveaux de mesures de protection conçues pour contrecarrer et compliquer toute tentative de disséquer et de comprendre ses mécanismes.