Perusahaan industri keamanan informasi Hudson Rock dan situs berita keamanan informasi Bleeping Computer menunjukkan bahwa pengembang perangkat lunak pencuri data Lumma baru-baru ini mengiklankan fitur baru yang memungkinkan mereka mencuri cookie terkait layanan Google dari komputer korban keluar, Masih valid
Meskipun fungsi di atas belum diketahui oleh para peneliti atauGoogleverifikasi, tapi semacam ini pembajakan korbanGoogleKemampuan akun tersebut sepertinya bukan kasus khusus. Dilaporkan bahwa peretas lain telah menguasai teknik serupa. Sebab, tiga hari kemudian, peneliti lain g3njxa menemukan bahwa peretas yang mengoperasikan perangkat lunak pencuri uang Rhadamanthys juga mengaku menyediakan fungsi serupa. Oleh karena itu, pernyataan di atas yang diperoleh Bleeping Computer dari pengembang Lumma kemungkinan besar berasal dari pesaing. Perangkat lunak pencuri uang mereka telah disalin.
Terkait hal ini, Bleeping Computer juga mengungkapkan keprihatinannyaGoogleKonfirmasi lebih lanjut tetapi tidak ada tanggapan. Namun, beberapa hari kemudian, peretas yang mengembangkan perangkat lunak pencuri uang Lumma berkata,GoogleBaru-baru ini, pembatasan baru diperkenalkan pada Token. Mereka merilis program pembaruan untuk mengatasi tindakan ini. Pembeli masih dapat menggunakan fungsi yang mereka sediakan untuk mengontrol milik korbanGooglenomor akun.
Menanggapi teknik ini, peneliti dari Hudson Rock menemukan format cookie baru yang diklaim oleh para peretas dari komputer yang terinfeksi perangkat lunak pencuri uang Lumma dan melakukan penelitian. Mereka menemukan bahwa itu memang seperti yang diiklankan oleh pihak lain ke dalam browser. dapat mengakses akun Google korban, dan cookie tersebut tampaknya tidak kedaluwarsa.
Namun, ketika mereka meminta korban untuk mengubah kata sandi Gmail mereka sebelum mengujinya lagi, cookie tersebut tidak lagi valid. Peneliti mencoba mencari tahu kebenarannya dari pengembang Lumma, yang mengungkapkan kepada mereka bahwa penyerang harus menggunakan "Browser Anti-Deteksi" untuk mengaburkan informasi identifikasi perangkat mereka sendiri dan menyamar sebagai konfigurasi komputer korban. Para peneliti ini juga berharap para pelaku industri keamanan lainnya akan berpartisipasi dalam penyelidikan dan menyatakan kesediaannya untuk memberikan file cookie yang diperoleh di atas.
Ini bukan pertama kalinya teknik langka digunakan
Apakah software pencuri uang ini benar-benar memiliki fungsi yang diiklankan oleh para hacker? Belum ada personel keamanan yang mengkonfirmasi hal ini, namun ini bukan pertama kalinya para peretas ini memperkenalkan trik yang sangat langka ke dalam perangkat lunak pencuri uang.
Misalnya, perusahaan keamanan Outpost24 mengungkapkan serangan sebelumnya oleh perangkat lunak pencuri uang Lumma. Pada saat itu, para peneliti memperoleh Lumma Stealer versi 4.0 untuk dianalisis dan menemukan bahwa para peretas ini menggunakan teknik yang sangat rumit untuk menghindari deteksi . Kebingungan Perataan Aliran Kontrol, deteksi perilaku mouse manusia, enkripsi XOR, dukungan untuk file konfigurasi dinamis, dll.
Yang paling istimewa adalah deteksi operasi mouse pengguna untuk memastikan apakah program jahat dieksekusi di lingkungan sandbox peneliti, peretas menggunakan trigonometri untuk melacak posisi kursor mouse dalam 50 milidetik , lalu menghitungnya melalui Euclidean Vector. Jika sudut yang didapat kurang dari 5 derajat, maka akan dianggap sebagai operasi manusia dan software pencuri uang akan dieksekusi.
