L'azienda del settore della sicurezza informatica Hudson Rock e il sito web di notizie sulla sicurezza informatica Bleeping Computer hanno sottolineato che gli sviluppatori del software per il furto di dati Lumma hanno recentemente pubblicizzato una nuova funzionalità che consente loro di rubare cookie relativi ai servizi Google dal computer della vittima anche se l'utente accede fuori, Ancora valido
Sebbene le funzioni di cui sopra non siano state riconosciute dai ricercatori oGoogleverifica, ma questo tipo di dirottamento delle vittimeGoogleL'abilità dell'account non sembra essere un caso speciale. È stato riferito che altri hacker hanno padroneggiato tecniche simili. Perché tre giorni dopo un altro ricercatore g3njxa ha scoperto che l'hacker che utilizzava il software per il furto di denaro Rhadamanthys affermava di fornire anche funzioni simili. Pertanto, la suddetta dichiarazione ottenuta da Bleeping Computer dallo sviluppatore Lumma proviene probabilmente da un concorrente. Il loro software per il furto di denaro è stato copiato.
A questo proposito anche Bleeping Computer ha espresso preoccupazioneGoogleUlteriori conferme ma nessuna risposta. Tuttavia, pochi giorni dopo, l'hacker che ha sviluppato il software per rubare denaro di Lumma ha detto:GoogleRecentemente sono state introdotte nuove restrizioni su Token. Hanno rilasciato un programma di aggiornamento per contrastare questa misura. Gli acquirenti possono ancora utilizzare le funzioni fornite per controllare le vittimeGooglenumero di conto.
In risposta a questa tecnica, i ricercatori di Hudson Rock hanno scoperto il nuovo formato di cookie rivendicato dagli hacker su computer infettati dal software ruba-denaro Lumma e hanno scoperto che era effettivamente quello pubblicizzato dalla controparte nel browser. possono accedere all'account Google della vittima e il cookie non sembra scadere.
Tuttavia, quando hanno chiesto alla vittima di modificare la password di Gmail prima di ripetere il test, il cookie non era più valido. I ricercatori hanno cercato di scoprire la verità dagli sviluppatori di Lumma, i quali hanno rivelato loro che gli aggressori devono utilizzare un "Browser Anti-Rilevamento" per offuscare le informazioni di identificazione dei propri dispositivi e camuffarsi sotto la configurazione del computer della vittima. Questi ricercatori sperano anche che altre società di sicurezza partecipino all'indagine ed esprimano la loro disponibilità a fornire i file cookie sopra ottenuti.
Questa non è la prima volta che vengono utilizzate tecniche rare
Questo software ruba denaro ha davvero le funzioni pubblicizzate dagli hacker? Nessun addetto alla sicurezza lo ha ancora confermato, ma non è la prima volta che questi hacker introducono trucchi estremamente rari nei software per il furto di denaro.
L'azienda di sicurezza Outpost24 ha rivelato ad esempio precedenti attacchi del software per il furto di denaro Lumma. I ricercatori hanno analizzato Lumma Stealer nella versione 4.0 e hanno scoperto che questi hacker utilizzavano tecniche estremamente complesse per evitare di essere rilevati . Offuscamento dell'appiattimento del flusso di controllo, rilevamento del comportamento del mouse umano, crittografia XOR, supporto per file di configurazione dinamici, ecc.
La cosa più particolare è il rilevamento del movimento del mouse dell'utente. Per verificare se il programma dannoso è stato eseguito nell'ambiente sandbox del ricercatore, gli hacker hanno tracciato con la trigonometria la posizione del cursore del mouse in 50 millisecondi , e poi calcolarlo tramite il vettore euclideo. Se l'angolo ottenuto è inferiore a 5 gradi, verrà considerata un'operazione umana e verrà eseguito il software ruba-denaro.
