Das Informationssicherheitsunternehmen Hudson Rock und die Informationssicherheits-Nachrichtenseite Bleeping Computer wiesen darauf hin, dass die Entwickler der Datendiebstahlsoftware Lumma kürzlich eine neue Funktion angekündigt haben, die es ihnen ermöglicht, Cookies im Zusammenhang mit Google-Diensten vom Computer des Opfers zu stehlen, selbst wenn sich der Benutzer anmeldet aus, das immer noch gültig ist
Obwohl die oben genannten Funktionen von Forschern nicht erkannt wurden oderGoogleÜberprüfung, sondern diese Art der Entführung von OpfernGoogleDie Fähigkeit des Kontos scheint kein Sonderfall zu sein. Es wird berichtet, dass andere Hacker ähnliche Techniken beherrschen. Denn drei Tage später entdeckte ein anderer Forscher, g3njxa, dass der Hacker, der die Gelddiebstahlsoftware Rhadamanthys betreibt, ebenfalls behauptete, ähnliche Funktionen bereitzustellen. Daher dürfte die oben genannte Aussage, die Bleeping Computer vom Lumma-Entwickler erhalten hat, von einem Konkurrenten stammen. Ihre Gelddiebstahlsoftware wurde kopiert.
Diesbezüglich äußerte auch Bleeping Computer BedenkenGoogleWeitere Bestätigung, aber keine Antwort. Doch ein paar Tage später sagte der Hacker, der Lummas Gelddiebstahlsoftware entwickelt hatte:GoogleKürzlich wurden neue Einschränkungen für Token eingeführt. Um dieser Maßnahme entgegenzuwirken, können Käufer die von ihnen bereitgestellten Funktionen weiterhin nutzenGoogleAccountnummer.
Als Reaktion auf diese Technik entdeckten Forscher von Hudson Rock das von den Hackern beanspruchte neue Cookie auf Computern, die mit der Gelddiebstahlsoftware Lumma infiziert waren, und führten Untersuchungen durch. Sie stellten fest, dass es tatsächlich so war, wie von der anderen Partei beworben im Browser kann auf das Google-Konto des Opfers zugreifen und das Cookie scheint nicht abzulaufen.
Als sie das Opfer jedoch aufforderten, vor einem erneuten Test sein Gmail-Passwort zu ändern, war das Cookie nicht mehr gültig. Die Forscher versuchten, die Wahrheit von den Lumma-Entwicklern herauszufinden, die ihnen offenbarten, dass Angreifer einen „Anti-Detect-Browser“ verwenden müssen, um die Identifikationsinformationen ihrer eigenen Geräte zu verschleiern und sich als die Konfiguration des Computers des Opfers zu tarnen. Diese Forscher hoffen auch, dass andere Akteure der Sicherheitsbranche an der Untersuchung teilnehmen und ihre Bereitschaft zum Ausdruck bringen, die oben erhaltenen Cookie-Dateien bereitzustellen.
Dies ist nicht das erste Mal, dass seltene Techniken eingesetzt werden
Verfügt diese Gelddiebstahlsoftware tatsächlich über die von den Hackern beworbenen Funktionen? Bisher hat kein Sicherheitspersonal dies bestätigt, aber es ist nicht das erste Mal, dass diese Hacker äußerst seltene Tricks in Software zum Gelddiebstahl einführen.
So deckte das Sicherheitsunternehmen Outpost24 frühere Angriffe der Gelddiebstahlsoftware Lumma auf. Damals beschafften sich Forscher die Lumma Stealer-Version 4.0 zur Analyse und stellten fest, dass diese Hacker äußerst komplexe Techniken verwendeten, um einer Entdeckung zu entgehen . Control Flow Flattening Obfuscation, Erkennung des menschlichen Mausverhaltens, XOR-Verschlüsselung, Unterstützung für dynamische Konfigurationsdateien usw.
Das Besondere ist die Erkennung der Mausbedienung des Benutzers. Um zu bestätigen, ob das Schadprogramm in der Sandbox-Umgebung des Forschers ausgeführt wurde, verfolgten die Hacker die Position des Mauszeigers in Abständen von 50 Millisekunden und berechnen Sie ihn dann mithilfe des Euklidischen Vektors. Wenn der erhaltene Winkel weniger als 5 Grad beträgt, wird dies als menschlicher Vorgang betrachtet und die geldraubende Software ausgeführt.
