Вредоносное ПО использует тригонометрию для предотвращения обнаружения и блокировки
Вредоносное ПО использует тригонометрию для предотвращения обнаружения и блокировки. Фото: СС0
Исследователи кибербезопасности Outpost24 недавно проанализировали последнюю версию Lumma Stealer, известного вредоносного ПО-похитителя информации, способного перехватывать пароли, хранящиеся в популярных браузерах, файлы cookie, информацию о кредитных картах и данные, связанные с криптовалютными кошельками. Lumma предлагается как услуга за абонентскую плату от 250 до 1000 $.
В ходе анализа исследователи Outpost24 обнаружили, что четвертая версия Lumma включает в себя ряд новых методов уклонения. Это позволяет ей работать рядом с большинством антивирусных служб или служб защиты конечных точек.
Методы включают в себя выравнивание потока управления, обнаружение активности человека и мыши, зашифрованные строки XOR, поддержку файлов динамической конфигурации и принудительное использование шифрования во всех сборках.
Обнаружение активности человека и мыши является наиболее интересным, поскольку именно с его помощью инфокрад может узнать, работает ли он в антивирусной песочнице.
Как объясняют исследователи, вредоносное ПО отслеживает положение курсора и записывает серию из пяти различных позиций с интервалом в 50 миллисекунд. Затем, используя тригонометрию, зловред анализирует эти положения как евклидовы векторы, вычисляя углы и векторные величины, формирующие обнаруженное движение.
Векторные углы ниже 45 градусов означают, что мышью управляет человек. Если углы выше, инфостилер предполагает, что он запускается в «песочнице», и прекращает всю активность. Он возобновляет работу, как только снова определяет активность мыши как человеческую.
Порог в 45 градусов, вероятно, выбран на основе данных исследований.
Инфостилеры — популярный инструмент взлома, поскольку они позволяют злоумышленникам получить доступ к важным службам, таким как учетные записи социальных сетей или учетные записи электронной почты. Кроме того, завладев банковскими данными или информацией, связанной с криптовалютным кошельком, злоумышленники могут похитить средства жертвы и криптотокены.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было