Lumma è un noto info-stealer, offerto in abbonamento, che permette di rubare numerosi dati da browser e applicazioni. Una delle tecniche usate per aggirare la rilevazione prevede il calcolo della posizione del puntatore del mouse. In base al risultato, il malware stabilisce se è stato eseguito in una sandbox o una macchina virtuale. Un’altra funzionalità permette invece di ripristinare i cookie di sessione di Google.
Lumma usa la trigonometria
Lumma è un info-stealer MaaS (Malware-as-a-Service) offerto in abbonamento (da 250 a 1.000 dollari/mese). Può rubare password, cookie, numeri delle carte di credito e informazioni dai wallet di criptovalute. La versione 4.0 include varie tecniche di offuscamento del codice e una innovativa tecnica anti-sandbox che sfrutta la trigonometria.
L’obiettivo è verificare se il sistema infetto viene controllato da un utente o se è stato simulato in un ambiente virtuale (soluzione molto comune tra i ricercatori di sicurezza). Per rilevare l’attività umana viene determinata la posizione iniziale del puntatore del mouse e le successive quattro posizioni.
Le cinque posizioni, identificate tramite coordinate x e y, sono considerati vettori euclidei. Ad esempio, se le posizioni sono P1, P2, P3, P4 e P5, i vettori sono P12, P23, P34 e P45. Nel codice del malware è presente la formula per il calcolo dell’angolo tra due vettori consecutivi. Se il valore è inferiore a 45 gradi, Lumma stabilisce che i movimenti del mouse non sono simulati dal software e quindi prosegue l’esecuzione. In caso contrario ferma le sue attività.
Lo sviluppatore del malware ha recentemente annunciato un’altra funzionalità disponibile per l’abbonamento Corporate (1.000 dollari/mese). Lumma può ripristinare i cookie di sessione di Google e quindi accedere all’account anche se l’utente ha effettuato il logout e la sessione è scaduta.
Non è noto se viene sfruttata una vulnerabilità. Se Google non troverà una soluzione efficace, gli utenti non potranno fare nulla per evitare il furto dell’account. Possono però evitare di scaricare file da fonti poco affidabili.