L’elusione dei sistemi di protezione è sempre un cluster enormemente attenzionato: il malware Lumma ha recentemente adottato una tattica innovativa che coinvolge la trigonometria per distinguere se è in esecuzione su una macchina reale o all’interno di un ambiente virtuale di sandbox antivirus.
Indice degli argomenti
LummaC2 si aggiorna e integra nuove funzionalità di evasione
Lumma, noto anche come LummaC2, è diventato un servizio di furto di informazioni accessibile a criminali informatici disposti a pagare un abbonamento che varia tra 250 e 1.000 dollari.
Le ultime informazioni rivelate da un rapporto di Outpost24 sulla versione 4.0 di Lumma Stealer mettono in evidenza gli sforzi significativi degli sviluppatori di malware nel rendere più complessa l’analisi e l’individuazione da parte dei software di sicurezza.
Tra le nuove tecniche di evasione, spiccano l’offuscamento dell’appiattimento del flusso di controllo, il rilevamento dell’attività del mouse umano, l’utilizzo di stringhe crittografate XOR, il supporto per file di configurazione dinamici e l’ampio impiego della crittografia su tutte le build.
Ma la vera particolarità di Lumma 4.0 risiede nell’utilizzo della trigonometria per rilevare il comportamento umano.
Il malware traccia la posizione del cursore del mouse sull’host, applicando la trigonometria per analizzare le posizioni registrate come vettori euclidei, calcolando angoli e grandezze. Una soglia di 45 gradi è stata scelta come punto critico: se gli angoli calcolati sono inferiori a questa soglia, Lumma presume che il malware non sia in esecuzione in un ambiente virtuale, consentendo così il proseguimento delle sue attività dannose.
La versione 4.0 di Lumma dimostra anche una maggiore attenzione all’elusione dell’analisi, introducendo una serie di misure protettive. Il malware ora controlla automaticamente la crittografia del suo eseguibile, inviando un avviso se non crittografato, e incorpora ostacoli nel suo codice per complicare la logica del programma e confondere i software di analisi delle minacce.
Un aspetto interessante è sicuramente la necessità di Lumma di utilizzare un crypter per proteggere il suo eseguibile da analisti di minacce e altri accessi “criminali” non autorizzati, dimostrando la crescente complessità delle misure di sicurezza integrate nel malware.
Nuove sfide per la comunità cyber
Questa evoluzione di Lumma solleva ulteriori sfide per la comunità della sicurezza informatica, evidenziando la necessità di costante vigilanza e innovazione nella lotta contro le minacce digitali sempre più sofisticate.
Con la continua evoluzione delle tattiche di evasione, gli esperti di sicurezza sono chiamati a rafforzare le loro difese e adottare nuovi approcci per proteggere le reti e i dati dalle sempre crescenti minacce informatiche.
