LummaC2 : une nouvelle technique anti-sandbox basée sur la trigonométrie dévoilée

La méthode est conçue pour « retarder la détonation de l’échantillon jusqu’à ce que l’activité de la souris humaine soit détectée », a déclaré Alberto Marín, chercheur en sécurité chez Outpost24, dans un rapport technique partagé avec The Hacker News.

Écrit en langage de programmation C, LummaC2 est vendu sur des forums clandestins depuis décembre 2022. Le logiciel malveillant a depuis reçu des mises à jour itératives qui le rendent plus difficile à analyser via l’aplatissement du flux de contrôle et lui permettent même de livrer des charges utiles supplémentaires.

La version actuelle de LummaC2 (v4.0) exige également de ses clients qu’ils utilisent un crypteur comme mécanisme de dissimulation supplémentaire, sans compter qu’il ne peut être divulgué sous sa forme brute.

Une autre mise à jour notable est le recours à la trigonométrie pour détecter le comportement humain sur le point de terminaison infiltré.
« Cette technique prend en compte les différentes positions du curseur dans un court intervalle pour détecter l’activité humaine, empêchant ainsi la détonation dans la plupart des systèmes d’analyse qui n’émulent pas les mouvements de la souris de manière réaliste », a déclaré M. Marín.
Pour ce faire, il extrait la position actuelle du curseur pendant cinq fois après un intervalle de sommeil prédéfini de 50 millisecondes, et vérifie si chaque position capturée est différente de la précédente. Le processus est répété indéfiniment jusqu’à ce que toutes les positions consécutives du curseur soient différentes.
Une fois que les cinq positions du curseur (P0, P1, P2, P3 et P4) satisfont aux exigences, LummaC2 les traite comme des vecteurs euclidiens et calcule l’angle formé entre deux vecteurs consécutifs (P01-P12, P12-P23 et P23-P34).

Si tous les angles calculés sont inférieurs à 45º, LummaC2 v4.0 considère qu’il a détecté un comportement « humain » de la souris et poursuit son exécution », explique M. Marín. « Toutefois, si l’un des angles calculés est supérieur à 45º, le logiciel malveillant recommence le processus en s’assurant qu’il y a un mouvement de la souris dans une période de 300 millisecondes et en capturant à nouveau 5 nouvelles positions du curseur à traiter. »

Ce développement intervient dans un contexte d’émergence de nouvelles souches de voleurs d’informations et de chevaux de Troie d’accès à distance tels que BbyStealer, Trap StealerPredator AIEpsilon StealerNova SentinelSayler RAT qui sont conçus pour extraire un large éventail de données sensibles des systèmes compromis. Predator AI – un projet activement maintenu – se distingue également par le fait qu’il peut être utilisé pour attaquer de nombreux services en nuage populaires tels que AWSPayPalRazorpay et Twilioin en plus d’incorporer une API ChatGPT « pour rendre l’outil plus facile à utiliser », a noté SentinelOne au début de ce mois. »Le modèle de logiciel malveillant en tant que service (MaaS) et sa facilité d’accès restent la méthode préférée des acteurs de menaces émergentes pour mener des cyberattaques complexes et lucratives », a déclaré M. Maríns. Le vol d’informations est une préoccupation majeure dans le domaine du MaaS [et] représente une menace considérable qui peut entraîner des pertes financières substantielles pour les organisations et les particuliers. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’informations sur la cybersécurité et de conseils d’experts.