Вредонос LummaC2 использует тригонометрию для детектирования песочниц

Вредонос LummaC2 использует тригонометрию для детектирования песочниц

Вредонос LummaC2 использует тригонометрию для детектирования песочниц

Вредоносная программа LummaC2 (она же Lumma Stealer), ворующая данные пользователей, обзавелась новыми интересными функциями: для ухода от песочницы и извлечения конфиденциальной информации из хоста зловред использует тригонометрию.

Как отмечают исследователи из Outpost24, описанный метод помогает операторам заморозить активацию вредоноса до обнаружения активности мыши.

LummaC2, написанная на C, продается на форумах для киберпреступников с декабря 2022 года. Авторы трояна периодически расширяют его функциональные возможности. Особое внимание разработчики уделяют методам антианализа.

Текущая версия LummaC2, получившая номер v4.0, требует от операторов использования криптора в качестве дополнительной меры сокрытия. Это помогает бороться с утечкой кода вредоноса.

Кроме того, новый семпл продемонстрировал использование тригонометрии для обнаружения действия человека на атакованном хосте.

«Новая техника, которую задействует вредонос, полагается на позиции курсора мыши, которые вычисляются за короткий промежуток времени — это помогает выявить активность человека. Благодаря такому подходу зловред не активирует свои функции при работе в среде для анализа, которая, как правило, не очень реалистично эмулирует движения мышью», — объясняют специалисты.

Для этого LummaC2 берет интервал в 300 миллисекунд и проверяет с такой периодичностью позицию курсора. Этот процесс будет повторяться до момента, пока пять последовательных позиций курсора (P0, P1, P2, P3 и P4) не будут отличаться.

 

Положения курсора зловред рассматривает в качестве векторов, вычисляя угол, который получается между двумя последовательными векторами (P01-P12, P12-P23 и P23-P34).

 

«Если все высчитанные углы ниже 45 градусов, LummaC2 v4.0 убеждается в том, что мышью двигает человек. После этого активируются вредоносные функции», — подытоживают эксперты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Хакер предлагает zero-day для macOS за $130 000 — но доказательств нет

На одном из популярных подпольных форумов появился человек под ником #skart7, который утверждает, что у него есть эксплойт, позволяющий повысить права в macOS. По словам #skart7, с помощью уязвимости можно получить root-доступ, то есть полный контроль над системой. В том числе и на бета-версии macOS 26.

Цена вопроса — $130 000. Продавец даже готов воспользоваться эскроу-сервисом (то есть безопасной сделкой через посредника), чтобы показать серьёзность намерений.

Он утверждает, что эксплойт работает «на 100%» и охватывает версии от macOS 13.0 до 15.5 и выше.

Источник: gbhackers

 

Звучит тревожно, но есть нюанс: никакого доказательства в виде технической демонстрации или независимой проверки нет. Более того, сам #skart7 — персонаж в сообществе новый, с репутацией пока никак не связанный. Поэтому верить на слово ему никто не спешит.

Если уязвимость реальна, она может быть использована для атак на корпоративные сети, правительственные структуры и просто пользователей, хранящих конфиденциальные данные.

Особенно опасно то, что такие эксплойты могут комбинироваться с другими (например, для удалённого доступа) и давать полный контроль над системой.

Но пока что это просто заявление на хакерском форуме — без доказательств, без кода, без подтверждений. Так что эксперты призывают сохранять спокойствие, но не терять бдительности: обновлять macOS, следить за обновлениями безопасности и использовать надёжную защиту на устройствах.

В таких случаях лучше проявить скепсис, чем паниковать по неподтверждённой утечке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru