LummaC2-Malware setzt auf neue Anti-Sandbox-Technik
Die als LummaC2 oder Lumma Stealer bekannte Malware verfügt jetzt über eine neue Anti-Sandbox-Technik. Das Besondere daran: Sie nutzt mathematische Verfahren der Trigonometrie, um die Erkennung zu umgehen und wertvolle Informationen von infizierten Hosts zu exfiltrieren.
Die Methode soll sicherstellen, dass „keine schädlichen Aktivitäten von Malware ausgeführt werden, bis eine tatsächliche menschliche Mausaktion erkannt wird“, erklärte der Sicherheitsforscher Alberto Marín von Outpost24 in einem technischen Bericht. LummaC2 ist in der Programmiersprache C geschrieben und wird seit Dezember 2022 in Untergrundforen verkauft. Seitdem hat die Malware mehrere Updates erhalten, die ihre Analyse erschweren, indem der Ablauf ihres Codes weniger vorhersehbar gemacht wird. Zudem kann sie nun zusätzliche Daten übertragen.
Die neueste Version von LummaC2 (v4.0) erfordert nun von Kunden die Nutzung eines Crypters als zusätzlichen Schutzmechanismus. Außerdem ist die Malware nicht mehr direkt einsehbar.
Eine andere wichtige Verbesserung ist die Verwendung von Trigonometrie, um menschliches Verhalten auf dem infizierten Computer zu erkennen. „Diese Technik analysiert verschiedene Positionen des Mauszeigers in kurzen Zeitabständen, um menschliche Aktivitäten zu identifizieren. Dadurch wird verhindert, dass die Malware in den meisten Analyse-Systemen ausgelöst wird, die Mausbewegungen nicht realistisch simulieren können“, erklärte Marín.
Um dies zu erreichen, wird die aktuelle Position des Cursors fünfmal abgefragt, nachdem eine festgelegte Pause von 50 Millisekunden eingehalten wurde. Dann wird überprüft, ob jede aufgezeichnete Position von der vorherigen abweicht. Dieser Vorgang wird wiederholt, bis sich alle aufeinanderfolgenden Cursorpositionen unterscheiden.
Sobald alle fünf Cursorpositionen (P0, P1, P2, P3 und P4) den Regeln entsprechen, behandelt LummaC2 sie als Euklidische Vektoren und ermittelt den Winkel zwischen aufeinanderfolgenden Verktoren (P01-P12, P12-P23 und P23-P34). „Wenn alle berechneten Winkel kleiner als 45 Grad sind, nimmt LummaC2 v4.0 an, dass es eine ‚menschliche‘ Mausbewegung erkannt hat, und setzt seine Aktivitäten fort“, so Marín. „Wenn jedoch einer der berechneten Winkel größer als 45 Grad ist, startet die Malware den Prozess erneut. Sie wartet darauf, dass innerhalb von 300 Millisekunden eine Mausbewegung erfolgt, und erfasst dann erneut fünf neue Cursorpositionen zur Analyse.“
Gleichzeitig tauchen neue Arten von Schadsoftware auf, die darauf abzielen, sensible Daten aus kompromittierten Computersystemen zu stehlen. Diese Softwarearten werden als Informationsdiebstahl- und Fernzugriffs-Trojaner bezeichnet, wie beispielsweise BbyStealer, Trap Stealer, Predator AI, Epsilon Stealer, Nova Sentinel und Sayler RAT.
„Ein Beispiel ist Predator AI, ein kontinuierlich verbessertes Projekt“, berichtet SentinelOne. „Es zeichnet sich durch die Fähigkeit aus, viele beliebte Cloud-Dienste wie AWS, PayPal, Razorpay und Twilio anzugreifen. Außerdem enthält es eine ChatGPT-API, um die Nutzung des Tools zu vereinfachen.“
Das Malware-as-a-Service (MaaS)-Modell, bei dem Schadsoftware als Dienstleistung angeboten wird, bleibt offensichtlich eine bevorzugte Methode für aufstrebende Cyberkriminelle. Diese Methode ermöglicht es ihnen, komplexe und profitbringende Cyberangriffe durchzuführen. „Der Diebstahl von Informationen ist ein Hauptziel im Bereich von MaaS und stellt eine erhebliche Bedrohung dar“, warnt Alberto Marín. „Dies kann zu beträchtlichen finanziellen Verlusten sowohl für Unternehmen als auch für Einzelpersonen führen.“