LummacC2, noto infostealer venduto sui forum clandestini dalla fine dello scorso anno, ha sorpreso gli esperti di sicurezza con una nuova e inaspettata funzione.
Stiamo parlando di una tecnica avanzata “anti-sandbox” che, sfruttando il principio matematico della trigonometria, è in grado di evitare le analisi degli esperti di sicurezza e di offuscarsi con maggiore efficacia.
Scritto in linguaggio di programmazione C, LummaC2 ha ottenuto diversi aggiornamenti nei mesi precedenti, anche se quest’ultima sembra destinata a incidere in modo significativo sulla diffusione del malware. La versione 4.0, viene utilizzata dagli utenti con un crypter a supporto: tutto ciò rende l’agente malevolo ancora più difficile da individuare.
Come spiegato da Alberto Marín, ricercatore presso Outpost24, la tecnica per contrastare le analisi sandbox prevede il ritardo dell’avvio del malware. Questo, infatti, si andrebbe ad attivare solo quando individua dei comportamenti “umani” sulla macchina infettata.
LummaC2 e il suo sistema anti-sandbox: tutta una questione di mouse
Lo stesso ricercatore ha poi chiarito come la tecnica prevede di analizzare le posizioni del cursore che, secondo alcuni calcoli matematici, lasciano tradire l’intervento umano o meno. La maggior parte di strumenti di analisi, infatti, non emulano in modo realistico i movimenti del mouse e, dunque, sono facili da riconoscere per un software appositamente creato.
La posizione del puntatore viene analizzata per cinque volte, con intervalli di 300 millisecondi. Questi esami, vengono ripetuti più volte, confrontati tra loro e poi analizzati dal malware, evidenziando se il soggetto infettato è un utente o un ambiente controllato studiato per esaminare il suo operato.
Come è facile intuire, questo tipo di comportamento risulta deleterio per le analisi dei malware e, dunque, ne prolungano l’esistenza e l’efficacia. Gli esperti di sicurezza potranno di certo trovare una contromossa, ma ciò richiederà comunque del tempo che i cybercriminali, di certo, sfrutteranno a loro vantaggio.