أشارت شركة صناعة أمن المعلومات Hudson Rock وموقع Bleeping Computer الإخباري لأمن المعلومات إلى أن مطوري برنامج Lumma لسرقة البيانات أعلنوا مؤخرًا عن ميزة جديدة تسمح لهم بسرقة ملفات تعريف الارتباط المتعلقة بخدمات Google من أجهزة الكمبيوتر الضحية حتى لو قام المستخدم بتسجيل الخروج ، لا تزال صالحة
على الرغم من أن الوظائف المذكورة أعلاه لم يتم التعرف عليها من قبل الباحثين أو جوجلالتحقق، ولكن هذا النوع من اختطاف الضحايا جوجلولا يبدو أن قدرة الحساب تمثل حالة خاصة. ويذكر أن قراصنة آخرين أتقنوا تقنيات مماثلة. لأنه، بعد ثلاثة أيام، اكتشف باحث آخر g3njxa أن المتسلل الذي يقوم بتشغيل برنامج سرقة الأموال Rhadamanthys ادعى أيضًا أنه يقدم وظائف مماثلة، لذلك، من المحتمل أن يكون البيان المذكور أعلاه الذي حصلت عليه Bleeping Computer من مطور Lumma من أحد المنافسين. تم نسخ برنامج سرقة الأموال الخاص بهم.
وفي هذا الصدد، أعربت شركة Bleeping Computer أيضًا عن قلقها جوجلمزيد من التأكيد ولكن لا يوجد رد. ومع ذلك، بعد بضعة أيام، قال المتسلل الذي طور برنامج Lumma لسرقة الأموال: جوجلفي الآونة الأخيرة، تم فرض قيود جديدة على الرمز المميز، وقد أصدروا برنامج تحديث لمواجهة هذا الإجراء، ولا يزال بإمكان المشترين استخدام الوظائف التي يقدمونها للتحكم في الضحية جوجلرقم حساب.
ردًا على هذه التقنية، اكتشف باحثون من شركة Hudson Rock ملف تعريف الارتباط ذو الشكل الجديد الذي ادعىه المتسللون من أجهزة الكمبيوتر المصابة ببرنامج Lumma لسرقة الأموال، وأجروا الأبحاث، ووجدوا أنه بالفعل كما تم الإعلان عنه من قبل الطرف الآخر وقاموا بحقن ملف تعريف الارتباط هذا في المتصفح، يمكنه الوصول إلى حساب Google الخاص بالضحية، ولا يبدو أن صلاحية ملف تعريف الارتباط قد انتهت.
ومع ذلك، عندما طلبوا من الضحية تغيير كلمة مرور Gmail الخاصة بهم قبل الاختبار مرة أخرى، لم يعد ملف تعريف الارتباط صالحًا. حاول الباحثون معرفة الحقيقة من مطوري Lumma، الذين كشفوا لهم أنه يجب على المهاجمين استخدام "متصفح Anti-Detect" للتعتيم على معلومات التعريف الخاصة بأجهزتهم الخاصة وإخفاء أنفسهم على هيئة تكوين كمبيوتر الضحية. ويأمل هؤلاء الباحثون أيضًا أن تشارك شركات أمنية أخرى في التحقيق وتعرب عن استعدادها لتقديم ملفات تعريف الارتباط التي تم الحصول عليها أعلاه.
وهذه ليست المرة الأولى التي يتم فيها استخدام تقنيات نادرة
هل يتمتع برنامج سرقة الأموال هذا حقًا بالوظائف التي أعلن عنها المتسللون؟ لم يؤكد أي من أفراد الأمن هذا الأمر حتى الآن، لكن هذه ليست المرة الأولى التي يقوم فيها هؤلاء المتسللون بإدخال حيل نادرة للغاية في برامج سرقة الأموال.
على سبيل المثال، كشفت شركة الأمن Outpost24 عن هجمات سابقة قام بها برنامج Lumma لسرقة الأموال، وفي ذلك الوقت، حصل الباحثون على الإصدار 4.0 من Lumma Stealer لتحليلها ووجدوا أن هؤلاء المتسللين استخدموا تقنيات معقدة للغاية لتجنب اكتشافهم، وتضمنت الحيل: التحكم في العملية التحكم في تشويش التدفق، واكتشاف سلوك الماوس البشري، وتشفير XOR، ودعم ملفات التكوين الديناميكية، وما إلى ذلك.
والأكثر خصوصية هو الكشف عن تشغيل الماوس الخاص بالمستخدم من أجل التأكد مما إذا كان البرنامج الضار قد تم تنفيذه في بيئة وضع الحماية الخاصة بالباحث، استخدم المتسللون علم المثلثات لتتبع موضع مؤشر الماوس في 50 مللي ثانية وسجل 5 مواضع على فترات ثم قم بحسابها من خلال المتجه الإقليدي إذا كانت الزاوية التي تم الحصول عليها أقل من 45 درجة، فسيتم اعتبارها عملية بشرية وسيتم تنفيذ برنامج سرقة الأموال.
