El malware de robo LummaC2, también conocido como Lumma Stealer, ha implementado una nueva técnica anti-sandbox que utiliza principios trigonométricos para eludir la detección y robar información de sistemas infectados.
El enfoque retrasa la ejecución hasta detectar actividad del ratón, según revela el informe del investigador de seguridad Alberto Marín de Outpost24.
LummaC2, escrito en C, ha estado disponible en foros clandestinos desde diciembre de 2022. A través de actualizaciones iterativas, el malware complica su análisis mediante la obfuscación del flujo de control y facilita la entrega de cargas útiles adicionales. La versión actual (v4.0) también exige a los clientes el uso de un encriptador para mayor ocultación, mientras evita filtraciones en su forma cruda.
Una actualización destacada es la nueva dependencia de la trigonometría para detectar comportamiento humano en los sistemas infiltrados. Según el investigador Alberto Marín de Outpost24, esta técnica observa diferentes posiciones del cursor en un intervalo corto, evitando la detonación en sistemas de análisis que no emulan movimientos de ratón realistas.
El malware LummaC2 extrae la posición actual del cursor cinco veces después de intervalos de 300 milisegundos, verificando si cada posición es diferente de la anterior. Si todas las posiciones cumplen ciertos requisitos, trata esos datos como vectores euclidianos y calcula ángulos entre vectores consecutivos. Si todos los ángulos son inferiores a 45º, LummaC2 considera que ha detectado comportamiento humano y continúa su ejecución.
Este desarrollo coincide con la aparición de nuevas cepas de ladrones de información y troyanos de acceso remoto, como BbyStealer, Trap Stealer, Predator AI y Sayler RAT, diseñados para extraer diversos datos confidenciales de sistemas comprometidos.
Predator AI, un proyecto activo, destaca por su capacidad para atacar servicios populares en la nube como AWS, PayPal, Razorpay y Twilio. Además, incorpora una API de ChatGPT para hacer la herramienta más fácil de usar, según SentinelOne.
El modelo de malware como servicio (MaaS) sigue siendo preferido por los actores de amenazas emergentes para llevar a cabo ciberataques complejos y lucrativos, según el investigador Alberto Marín. El enfoque en el robo de información dentro de MaaS representa una amenaza significativa que puede resultar en pérdidas financieras sustanciales tanto para organizaciones como para individuos.
fuente:thehackernews