La société spécialisée dans la sécurité de l'information Hudson Rock et le site d'informations sur la sécurité de l'information Bleeping Computer ont souligné que les développeurs du logiciel de vol de données Lumma ont récemment annoncé une nouvelle fonctionnalité leur permettant de voler les cookies liés aux services Google sur l'ordinateur de la victime. dehors, le toujours valable
Bien que les fonctions ci-dessus n'aient pas été reconnues par les chercheurs ouGooglevérification, mais ce genre de détournement de victimesGoogleLa capacité du compte ne semble pas être un cas particulier. Il semblerait que d'autres pirates informatiques maîtrisent des techniques similaires. Car trois jours plus tard, un autre chercheur, g3njxa, a découvert que le pirate informatique qui exploitait le logiciel de vol d'argent Rhadamanthys prétendait également fournir des fonctions similaires. Par conséquent, la déclaration susmentionnée obtenue par Bleeping Computer auprès du développeur Lumma provient probablement d'un concurrent. Leur logiciel de vol d'argent a été copié.
À cet égard, Bleeping Computer a également exprimé son inquiétudeGoogleNouvelle confirmation mais pas de réponse. Cependant, quelques jours plus tard, le pirate informatique qui a développé le logiciel de vol d’argent de Lumma a déclaré :GoogleRécemment, de nouvelles restrictions ont été introduites sur Token. Ils ont publié un programme de mise à jour pour contrecarrer cette mesure. Les acheteurs peuvent toujours utiliser les fonctions qu'ils fournissent pour contrôler la victime.GoogleNuméro de compte.
En réponse à cette technique, les chercheurs de Hudson Rock ont découvert le nouveau format de cookie revendiqué par les pirates informatiques sur les ordinateurs infectés par le logiciel de vol d'argent Lumma et ont mené des recherches. Ils ont constaté qu'il s'agissait bien de celui annoncé par l'autre partie. Ils ont injecté ce cookie. dans le navigateur. peut accéder au compte Google de la victime et le cookie ne semble pas expirer.
Cependant, lorsqu’ils ont demandé à la victime de modifier son mot de passe Gmail avant de refaire un test, le cookie n’était plus valide.Les chercheurs ont tenté de découvrir la vérité auprès des développeurs de Lumma, qui leur ont révélé que les attaquants devaient utiliser un « navigateur anti-détection » pour masquer les informations d'identification de leurs propres appareils et se déguiser en configuration de l'ordinateur de la victime.Ces chercheurs espèrent également que d'autres sociétés de sécurité participeront à l'enquête et exprimeront leur volonté de fournir les fichiers cookies obtenus ci-dessus.
Ce n’est pas la première fois que des techniques rares sont utilisées
Ce logiciel de vol d'argent a-t-il vraiment les fonctions annoncées par les pirates ?Aucun agent de sécurité ne l'a encore confirmé, mais ce n'est pas la première fois que ces pirates informatiques introduisent des astuces extrêmement rares dans des logiciels de vol d'argent.
Par exemple, la société de sécurité Outpost24 a révélé des attaques antérieures du logiciel de vol d'argent Lumma. À cette époque, les chercheurs avaient obtenu la version 4.0 de Lumma Stealer pour analyse et ont découvert que ces pirates utilisaient des techniques extrêmement complexes pour éviter d'être détectés. Contrôlez l'obfuscation par aplatissement du flux, détection du comportement de la souris humaine, cryptage XOR, prise en charge des fichiers de configuration dynamiques, etc.
Le plus spécial est la détection de l'opération de la souris de l'utilisateur. Afin de confirmer si le programme malveillant a été exécuté dans l'environnement sandbox du chercheur, les pirates ont utilisé la trigonométrie pour suivre la position du curseur de la souris en 50 millisecondes. , puis calculez-le via le vecteur euclidien. Si l'angle obtenu est inférieur à 5 degrés, il sera considéré comme une opération humaine et le logiciel de vol d'argent sera exécuté.
