Malware LummaC2 usa trigonometria para evitar análises automatizadas em soluções sandbox

Nova pesquisa da Outpost24 descobriu que desenvolvedores de malware estão utilizando trigonometria para detectar comportamento humano com base nas posições do cursor, a fim de evitar análises automatizadas de segurança.

Nova pesquisa da Outpost24 revelou que desenvolvedores de malware estão usando técnicas de evasão de sandbox para evitar expor comportamentos maliciosos em um ambiente controlado, onde o malware é analisado. A equipe de threat intelligence da Outpost24, chamada KrakenLabs, descobriu que desenvolvedores de malware estão utilizando trigonometria para detectar comportamento humano com base nas posições do cursor, a fim de evitar análises automatizadas de segurança.

O modelo de Malware-as-a-Service (MaaS) representa uma ameaça grave no setor de cibersegurança. Esse modelo permite que indivíduos ou grupos com conhecimentos técnicos limitados acessem e implementem ferramentas e serviços de malware sofisticados, frequentemente desenvolvidos por hackers mais habilidosos. A facilidade de acesso a essas ferramentas maliciosas contribuiu para o aumento no número e na complexidade dos ataques cibernéticos.

Técnicas de anti-análise têm sido um desafio para muitos analistas de segurança, pois têm sido incluídas em malwares praticamente desde o seu início. Como o nome sugere, essas técnicas são projetadas para evitar a análise e compreensão do software que pretendem proteger, geralmente dificultando entender quando se olha para o "código" ou impedindo a execução do malware em ambientes controlados. Assim como em todos os outros aspectos da cibersegurança, os desenvolvedores de malware têm jogado um jogo de gato e rato com analistas de segurança, desenvolvendo novas técnicas para detectar esses ambientes, enquanto os analistas de segurança trabalham em técnicas para desabilitá-las ou desfazê-las.

Desde dezembro de 2022, o LummaC2, um malware conhecido por roubar informações desenvolvido em linguagem C, tem sido vendido em fóruns "underground". A KrakenLabs publicou uma análise detalhada do malware, avaliando o workflow do LummaC2, suas diferentes técnicas de ofuscação e como superá-las para analisar o malware com eficácia. O malware passou por diferentes atualizações e está atualmente na versão 4.0. Entre outras atualizações, a versão 4.0 incluiu uma nova técnica anti-sandbox para atrasar a execução do malware até que a atividade do mouse possa ser identificada como se fosse utilziado por humanos.

No post publicado, a equipe da KrakenLabs faz uma análise detalhada, com insights técnicos, sobre o Packer, bem como a técnica de Control Flow Flattening. Control Flow Flattening é uma técnica de ofuscação destinada a quebrar o fluxo original do programa e dificultar sua análise. Além disso, ela faz uso de predicados opacos e código morto para complicar a análise e tornar a identificação de blocos relevantes mais difíceis.

O LummaC2 v4.0 utiliza uma técnica anti-sandbox inovadora que força o malware a aguardar até que o comportamento "humano" seja detectado na máquina infectada. Essa técnica leva em consideração diferentes posições do cursor em um curto intervalo para detectar a atividade humana, impedindo efetivamente a execução na maioria dos sistemas de análise que não emulam movimentos do mouse de maneira realista.

Os pesquisadores também descobriram que anúncios em fóruns underground recomendam proteger o malware com um "crypter" para evitar vazamentos do malware em sua forma pura. Versões mais recentes do malware adicionaram uma nova funcionalidade para evitar vazamentos das amostras descompactadas.

Via - IT Securit Guru