Informatiebeveiligingsbedrijf Hudson Rock en informatiebeveiligingsnieuwswebsite Bleeping Computer wezen erop dat de ontwikkelaars van de gegevensstelende software Lumma onlangs een nieuwe functie hebben geadverteerd waarmee ze cookies gerelateerd aan Google-services van de computer van het slachtoffer kunnen stelen, zelfs als de gebruiker inlogt uit, nog steeds geldig
Hoewel de bovenstaande functies niet zijn erkend door onderzoekers ofGoogleverificatie, maar dit soort kaping van slachtoffersGoogleHet vermogen van het account lijkt geen speciaal geval te zijn. Er wordt gemeld dat andere hackers soortgelijke technieken onder de knie hebben. Omdat drie dagen later een andere onderzoeker g3njxa ontdekte dat de hacker die de geldstelende software Rhadamanthys bestuurde, ook beweerde soortgelijke functies te bieden. Daarom is de bovengenoemde verklaring die Bleeping Computer van de Lumma-ontwikkelaar heeft verkregen waarschijnlijk van een concurrent. Hun geldstelende software werd gekopieerd.
In dit verband uitte Bleeping Computer ook zijn bezorgdheidGoogleVerdere bevestiging maar geen reactie. Een paar dagen later zei de hacker die de geldstelende software van Lumma ontwikkelde echter:GoogleOnlangs zijn er nieuwe beperkingen geïntroduceerd op Token. Ze hebben een updateprogramma uitgebracht om deze maatregel tegen te gaan. Kopers kunnen nog steeds de functies gebruiken die ze bieden om de functies van het slachtoffer te controlerenGooglerekeningnummer.
Als reactie op deze techniek ontdekten onderzoekers van Hudson Rock het nieuwe formaat cookie dat door de hackers werd geclaimd op computers die waren geïnfecteerd met de geldstelende software Lumma en voerden onderzoek uit. Ze ontdekten dat het inderdaad was zoals geadverteerd door de andere partij in de browser heeft toegang tot het Google-account van het slachtoffer en het lijkt erop dat de cookie niet verloopt.
Toen ze het slachtoffer echter vroegen om hun Gmail-wachtwoord te wijzigen voordat ze opnieuw testten, was de cookie niet langer geldig. Onderzoekers probeerden de waarheid te achterhalen bij Lumma-ontwikkelaars, die hen onthulden dat aanvallers een "Anti-Detect Browser" moeten gebruiken om de identificatie-informatie van hun eigen apparaten te verdoezelen en zichzelf te vermommen als de configuratie van de computer van het slachtoffer. Deze onderzoekers hopen ook dat andere beveiligingsbedrijven aan het onderzoek zullen deelnemen en zich bereid zullen verklaren de hierboven verkregen cookiebestanden te verstrekken.
Dit is niet de eerste keer dat zeldzame technieken worden gebruikt
Heeft deze geldstelende software echt de functies die door de hackers worden geadverteerd? Geen enkel beveiligingspersoneel heeft dit nog bevestigd, maar het is niet de eerste keer dat deze hackers uiterst zeldzame trucs hebben geïntroduceerd in software voor het stelen van geld.
Het beveiligingsbedrijf Outpost24 onthulde bijvoorbeeld eerdere aanvallen van de geldstelende software Lumma. Onderzoekers verkregen destijds Lumma Stealer versie 4.0 voor analyse en ontdekten dat deze hackers extreem complexe technieken gebruikten om detectie te voorkomen, waaronder het controleren van het proces . Control Flow Flattening Obfuscation, detectie van menselijk muisgedrag, XOR-codering, ondersteuning voor dynamische configuratiebestanden, enz.
Het meest bijzondere is de detectie van de muisbediening van de gebruiker. Om te bevestigen of het kwaadaardige programma werd uitgevoerd in de sandbox-omgeving van de onderzoeker, gebruikten de hackers trigonometrie om de positie van de muiscursor in 50 milliseconden te volgen. Leg met tussenpozen 5 posities vast , en bereken het vervolgens via de Euclidische vector. Als de verkregen hoek kleiner is dan 45 graden, wordt dit beschouwd als een menselijke handeling en wordt de geldstelende software uitgevoerd.
