Вредоносное ПО использует тригонометрию для предотвращения обнаружения и блокировки

Новый штамм вредоносного ПО, обнаруженный исследователями, использует тригонометрию, чтобы избежать обнаружения.

Вредоносное ПО использует тригонометрию для предотвращения обнаружения и блокировки. Фото: СС0

Исследователи кибербезопасности Outpost24 недавно проанализировали последнюю версию Lumma Stealer, известного вредоносного ПО-похитителя информации, способного перехватывать пароли, хранящиеся в популярных браузерах, файлы cookie, информацию о кредитных картах и данные, связанные с криптовалютными кошельками. Lumma предлагается как услуга за абонентскую плату от 250 до 1000 $.

В ходе анализа исследователи Outpost24 обнаружили, что четвертая версия Lumma включает в себя ряд новых методов уклонения. Это позволяет ей работать рядом с большинством антивирусных служб или служб защиты конечных точек.

Методы включают в себя выравнивание потока управления, обнаружение активности человека и мыши, зашифрованные строки XOR, поддержку файлов динамической конфигурации и принудительное использование шифрования во всех сборках.

Обнаружение активности человека и мыши является наиболее интересным, поскольку именно с его помощью инфокрад может узнать, работает ли он в антивирусной песочнице.

Как объясняют исследователи, вредоносное ПО отслеживает положение курсора и записывает серию из пяти различных позиций с интервалом в 50 миллисекунд. Затем, используя тригонометрию, зловред анализирует эти положения как евклидовы векторы, вычисляя углы и векторные величины, формирующие обнаруженное движение.

Векторные углы ниже 45 градусов означают, что мышью управляет человек. Если углы выше, инфостилер предполагает, что он запускается в «песочнице», и прекращает всю активность. Он возобновляет работу, как только снова определяет активность мыши как человеческую.

Порог в 45 градусов, вероятно, выбран на основе данных исследований.

Инфостилеры — популярный инструмент взлома, поскольку они позволяют злоумышленникам получить доступ к важным службам, таким как учетные записи социальных сетей или учетные записи электронной почты. Кроме того, завладев банковскими данными или информацией, связанной с криптовалютным кошельком, злоумышленники могут похитить средства жертвы и криптотокены.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме