Tietoturva-alan yritys Hudson Rock ja tietoturvauutissivusto Bleeping Computer huomauttivat, että tietovarastoohjelmiston Lumma kehittäjät mainostivat äskettäin uutta ominaisuutta, jonka avulla he voivat varastaa Googlen palveluihin liittyviä evästeitä uhrin tietokoneelta, vaikka käyttäjä kirjautuisikin sisään ulos, edelleen voimassa
Vaikka tutkijat tai tutkijat eivät ole tunnistaneet yllä olevia toimintojaGoogletodentaminen, vaan tällainen uhrien kaappausGoogleTilin kyky ei näytä olevan erityinen tapaus. On raportoitu, että muut hakkerit ovat oppineet samanlaisia tekniikoita. Koska kolme päivää myöhemmin toinen tutkija g3njxa havaitsi, että hakkeri, joka käytti rahavarasohjelmistoa Rhadamanthys, väitti tarjoavansa samanlaisia toimintoja. Siksi yllä mainittu lausunto, jonka Bleeping Computer sai Lumman kehittäjältä, on todennäköisesti kilpailijalta. Heidän rahavarasohjelmistonsa kopioitiin.
Tältä osin Bleeping Computer ilmaisi myös huolensaGoogleLisävahvistus, mutta ei vastausta. Kuitenkin muutamaa päivää myöhemmin Lumman rahanvarasohjelmiston kehittänyt hakkeri sanoi:GoogleÄskettäin Tokenille on otettu käyttöön uusia rajoituksia. He ovat julkaisseet päivitysohjelman tämän toimenpiteen torjumiseksi. Ostajat voivat edelleen käyttää tarjoamiaan toimintoja uhrin hallintaanGoogletilinumero.
Vastauksena tähän tekniikkaan, Hudson Rockin tutkijat löysivät uuden muotoisen evästeen, jonka hakkerit olivat saaneet Lumma-rahaa varastavalla ohjelmistolla, ja he havaitsivat, että se oli todellakin toisen osapuolen mainostama selaimeen voi käyttää uhrin Google-tiliä, eikä eväste näytä vanhentuvan.
Kuitenkin, kun he pyysivät uhria vaihtamaan Gmail-salasanansa ennen uutta testausta, eväste ei ollut enää voimassa. Tutkijat yrittivät selvittää totuuden Lumman kehittäjiltä, jotka paljastivat heille, että hyökkääjien on käytettävä "Anti-Detect Browser" -selainta hämärtämään omien laitteidensa tunnistetiedot ja naamioitumaan uhrin tietokoneen kokoonpanoksi. Nämä tutkijat toivovat myös, että muut tietoturvayritykset osallistuvat tutkimukseen ja ilmaisevat halukkuutensa toimittaa yllä saadut evästetiedostot.
Tämä ei ole ensimmäinen kerta, kun harvinaisia tekniikoita käytetään
Onko tällä rahaa varastavalla ohjelmistolla todella hakkereiden mainostamat toiminnot? Mikään turvallisuushenkilöstö ei ole vielä vahvistanut tätä, mutta tämä ei ole ensimmäinen kerta, kun nämä hakkerit ovat ottaneet käyttöön erittäin harvinaisia temppuja rahanvarastajien ohjelmistoihin.
Esimerkiksi tietoturvayritys Outpost24 paljasti Lumma-ohjelmiston aiemmat hyökkäykset. Tuolloin tutkijat hankkivat Lumma Stealer -version 4.0 analysoitavaksi ja havaitsivat, että nämä hakkerit käyttivät äärimmäisen monimutkaisia tekniikoita havaitsemisen välttämiseksi Ohjaus Flow Flattening Obfuscation, ihmisen hiiren käyttäytymisen tunnistus, XOR-salaus, tuki dynaamisille määritystiedostoille jne.
Erikoisin on käyttäjän hiiren toiminnan havaitseminen Varmistaakseen, onko haittaohjelma suoritettu tutkijan hiekkalaatikkoympäristössä, hakkerit seurasivat hiiren kohdistimen sijaintia 50 millisekunnin välein , ja laske se sitten euklidisen vektorin avulla. Jos saatu kulma on pienempi kuin 5 astetta, se katsotaan ihmisoperaatioksi ja rahanvarasto-ohjelmisto suoritetaan.
