La empresa de la industria de seguridad de la información Hudson Rock y el sitio web de noticias sobre seguridad de la información Bleeping Computer señalaron que los desarrolladores del software de robo de datos Lumma anunciaron recientemente una nueva característica que les permite robar cookies relacionadas con los servicios de Google de la computadora de la víctima incluso si el usuario inicia sesión. fuera, el sigue siendo válido
Aunque las funciones anteriores no han sido reconocidas por los investigadores oGoogleverificación, pero este tipo de secuestro de víctimasGoogleLa capacidad de la cuenta no parece ser un caso especial. Se informa que otros piratas informáticos dominan técnicas similares. Porque, tres días después, otro investigador g3njxa descubrió que el hacker que operaba el software de robo de dinero Rhadamanthys también afirmaba proporcionar funciones similares. Por lo tanto, la declaración antes mencionada obtenida por Bleeping Computer del desarrollador de Lumma probablemente sea de un competidor. Su software para robar dinero fue copiado.
Al respecto, Bleeping Computer también expresó su preocupación.GoogleMás confirmación pero no hay respuesta. Sin embargo, unos días después, el hacker que desarrolló el software para robar dinero de Lumma dijo:GoogleRecientemente, se introdujeron nuevas restricciones en Token. Lanzaron un programa de actualización para contrarrestar esta medida. Los compradores aún pueden usar las funciones que brindan para controlar a la víctima.Googlenúmero de cuenta.
En respuesta a esta técnica, los investigadores de Hudson Rock descubrieron el nuevo formato de cookie reclamado por los piratas informáticos en computadoras infectadas con el software de robo de dinero Lumma y realizaron una investigación que efectivamente era como lo anunciaba la otra parte. en el navegador puede acceder a la cuenta de Google de la víctima y la cookie no parece caducar.
Sin embargo, cuando le pidieron a la víctima que cambiara su contraseña de Gmail antes de volver a realizar la prueba, la cookie ya no era válida. Los investigadores intentaron descubrir la verdad gracias a los desarrolladores de Lumma, quienes les revelaron que los atacantes deben utilizar un "navegador Anti-Detect" para ofuscar la información de identificación de sus propios dispositivos y disfrazarse de la configuración de la computadora de la víctima. Estos investigadores también esperan que otros actores de la industria de la seguridad participen en la investigación y expresen su voluntad de proporcionar los archivos cookie obtenidos anteriormente.
Esta no es la primera vez que se utilizan técnicas raras.
¿Tiene realmente este software para robar dinero las funciones anunciadas por los hackers? Ningún personal de seguridad lo ha confirmado todavía, pero no es la primera vez que estos piratas informáticos introducen trucos extremadamente raros en software para robar dinero.
Por ejemplo, la empresa de seguridad Outpost24 reveló ataques previos del software de robo de dinero Lumma. En ese momento, los investigadores obtuvieron la versión 4.0 de Lumma Stealer para su análisis y descubrieron que estos piratas informáticos utilizaban técnicas extremadamente complejas para evitar la detección. Ofuscación de aplanamiento del flujo de control, detección del comportamiento del mouse humano, cifrado XOR, soporte para archivos de configuración dinámica, etc.
El más especial es la detección de la operación del mouse del usuario. Para confirmar si el programa malicioso se ejecutó en el entorno sandbox del investigador, los piratas informáticos utilizaron trigonometría para rastrear la posición del cursor del mouse en 50 milisegundos. , y luego calcularlo mediante el vector euclidiano. Si el ángulo obtenido es inferior a 5 grados, se considerará una operación humana y se ejecutará el software de robo de dinero.
