Индустрия информационной безопасности Hudson Rock и новостной сайт информационной безопасности Bleeping Computer отметили, что разработчики Lumma, программного обеспечения для кражи активов, недавно рекламировали новую функцию, которая позволяет им красть файлы cookie, связанные со службами Google, с компьютеров жертв. выходит из системы, все еще действует
Хотя вышеуказанные функции не были признаны исследователями иGoogleпроверка, а это своего рода угон жертвGoogleВозможности учетной записи не являются особым случаем. Сообщается, что другие хакеры освоили подобные методы. Потому что три дня спустя другой исследователь g3njxa обнаружил, что хакер, управляющий программой для кражи денег Rhadamanthys, также утверждал, что предоставляет аналогичные функции. Таким образом, вышеупомянутое заявление, полученное Bleeping Computer от разработчика Lumma, скорее всего, принадлежит конкуренту. Их программное обеспечение для кражи денег было скопировано.
В связи с этим Bleeping Computer также выразил обеспокоенность.GoogleДальнейшее подтверждение, но никакого ответа. Однако несколько дней спустя хакер, разработавший программу Lumma для кражи денег, сказал:GoogleНедавно на Токен были введены новые ограничения.Они выпустили программу обновлений, чтобы противодействовать этой мере.Покупатели по-прежнему могут использовать предоставляемые ими функции для контроляGoogleНомер счета.
В ответ на эту технику исследователи из Hudson Rock обнаружили файлы cookie нового формата, заявленные хакерами, на компьютерах, зараженных программным обеспечением для кражи денег Lumma, и провели исследование. Они обнаружили, что это действительно так, как рекламировала другая сторона. Они внедрили этот файл cookie. в браузере, может получить доступ к учетной записи Google жертвы, и срок действия файла cookie не истекает.
Однако когда они попросили жертву сменить пароль Gmail перед повторным тестированием, файл cookie стал недействителен. Исследователи попытались выяснить правду у разработчиков Lumma, которые рассказали им, что злоумышленники должны использовать «Анти-обнаружение браузера», чтобы скрыть идентификационную информацию своих собственных устройств и замаскироваться под конфигурацию компьютера жертвы. Эти исследователи также надеются, что другие охранные компании примут участие в расследовании и выразят готовность предоставить полученные выше файлы cookie.
Это не первый раз, когда используются редкие методы.
Действительно ли это программное обеспечение для кражи денег имеет функции, рекламируемые хакерами? Никто из сотрудников службы безопасности пока не подтвердил это, но это не первый случай, когда эти хакеры внедряют чрезвычайно редкие уловки в программное обеспечение для кражи денег.
Например, охранная фирма Outpost24 раскрыла предыдущие атаки с помощью программного обеспечения для кражи денег Lumma. Тогда исследователи получили для анализа версию Lumma Stealer 4.0 и обнаружили, что эти хакеры использовали чрезвычайно сложные методы, чтобы избежать обнаружения. Уловки включали: контроль процесса Сглаживание потока управления, обфускация, обнаружение поведения мыши, шифрование XOR, поддержка файлов динамической конфигурации и т. д.
Самым особенным из них является обнаружение действий пользователя с помощью мыши. Чтобы подтвердить, выполнялась ли вредоносная программа в «песочнице» исследователя, хакеры использовали тригонометрию для отслеживания положения курсора мыши с интервалом в 50 миллисекунд. , а затем вычислить его с помощью евклидова вектора. Если полученный угол меньше 5 градусов, это будет считаться человеческой операцией и будет запущено программное обеспечение для кражи денег.
