A empresa do setor de segurança da informação Hudson Rock e o site de notícias de segurança da informação Bleeping Computer apontaram que os desenvolvedores do software de roubo de dados Lumma anunciaram recentemente um novo recurso que lhes permite roubar cookies relacionados aos serviços do Google do computador da vítima. fora, o ainda válido
Embora as funções acima não tenham sido reconhecidas por pesquisadores ouGoogleverificação, mas este tipo de sequestro de vítimasGoogleA capacidade da conta não parece ser um caso especial. É relatado que outros hackers dominaram técnicas semelhantes. Porque, três dias depois, outro pesquisador g3njxa descobriu que o hacker que opera o software de roubo de dinheiro Rhadamanthys também alegou fornecer funções semelhantes. Portanto, a declaração acima mencionada obtida pelo Bleeping Computer do desenvolvedor Lumma provavelmente é de um concorrente. Seu software para roubar dinheiro foi copiado.
A este respeito, Bleeping Computer também expressou preocupaçãoGoogleMais confirmação, mas sem resposta. No entanto, alguns dias depois, o hacker que desenvolveu o software de roubo de dinheiro de Lumma disse:GoogleRecentemente, novas restrições foram introduzidas no Token. Eles lançaram um programa de atualização para neutralizar esta medida. Os compradores ainda podem usar as funções que eles fornecem para controlar a vítima.Googlenúmero de conta.
Em resposta a essa técnica, pesquisadores da Hudson Rock descobriram o novo formato de cookie reivindicado pelos hackers em computadores infectados com o software de roubo de dinheiro Lumma e conduziram uma pesquisa. Eles descobriram que era realmente conforme anunciado pela outra parte. Eles injetaram esse cookie no navegador, pode acessar a conta do Google da vítima e o cookie não parece expirar.
No entanto, quando pediram à vítima para alterar a senha do Gmail antes de testar novamente, o cookie não era mais válido. Os pesquisadores tentaram descobrir a verdade com os desenvolvedores do Lumma, que lhes revelaram que os invasores devem usar um “navegador anti-detecção” para ofuscar as informações de identificação de seus próprios dispositivos e se disfarçar como a configuração do computador da vítima. Esses pesquisadores também esperam que outras empresas de segurança participem da investigação e expressem sua disposição em fornecer os arquivos cookies obtidos acima.
Esta não é a primeira vez que técnicas raras são usadas
Este software para roubar dinheiro realmente tem as funções anunciadas pelos hackers? Nenhum pessoal de segurança confirmou isso ainda, mas não é a primeira vez que esses hackers introduzem truques extremamente raros em softwares para roubo de dinheiro.
Por exemplo, a empresa de segurança Outpost24 revelou ataques anteriores do software de roubo de dinheiro Lumma. Naquela época, os pesquisadores obtiveram o Lumma Stealer versão 4.0 para análise e descobriram que esses hackers usavam técnicas extremamente complexas para evitar a detecção. Os truques incluíam: controlar o processo Controle de ofuscação de nivelamento de fluxo, detecção de comportamento de mouse humano, criptografia XOR, suporte para arquivos de configuração dinâmica, etc.
O mais especial é a detecção da operação do mouse do usuário. Para confirmar se o programa malicioso foi executado no ambiente sandbox do pesquisador, os hackers usaram trigonometria para rastrear a posição do cursor do mouse em 50 milissegundos. e, em seguida, calcule-o através do Vetor Euclidiano. Se o ângulo obtido for inferior a 5 graus, será considerada uma operação humana e o software de roubo de dinheiro será executado.
