Los atacantes están constantemente innovando para evadir las medidas de seguridad existentes. Una de las últimas tácticas observadas es el uso de la trigonometría por parte del malware Lumma Stealer para evadir la detección, un desarrollo preocupante tanto para usuarios individuales como para organizaciones. En este artículo profundizaremos en cómo funciona Lumma Stealer y qué implica su uso de la trigonometría en el panorama de la seguridad cibernética.
Lumma Stealer es un tipo de malware diseñado para robar información confidencial de los dispositivos infectados. A diferencia de otros tipos de malware, Lumma Stealer se destaca por su capacidad de evadir las herramientas de detección de malware mediante el uso de técnicas matemáticas avanzadas, como la trigonometría.
Te podrá interesar leer: Análisis de Malware con Wazuh
El software malicioso Lumma, especializado en el robo de información, ha adoptado una técnica innovadora para evitar ser detectado por los programas de seguridad: utiliza la trigonometría para medir los movimientos del ratón y determinar si está operando en un sistema real o en un entorno controlado por antivirus.
Conocido también como LummaC2, este malware de alquiler se ofrece a los ciberdelincuentes mediante suscripciones que varían entre 250 y 1.000 dólares. Lumma permite a los atacantes sustraer datos de navegadores y aplicaciones en Windows 7-11, incluyendo contraseñas, cookies, detalles de tarjetas de crédito e información de monederos de criptomonedas.
Disponible en foros de cibercriminales desde diciembre de 2022, Lumma ganó popularidad rápidamente en la comunidad hacker, según informes.
Podría interesarte leer: Descubriendo los canales en Telegram de la Dark Web
Un reciente estudio sobre la versión 4.0 de Lumma Stealer reveló mejoras significativas en sus métodos para eludir la detección y complicar el análisis automatizado. Estas técnicas incluyen la ofuscación mediante aplanamiento del flujo de control, detección de movimientos humanos del ratón, cadenas cifradas XOR, soporte para archivos de configuración dinámica y el empleo de cifrado en todas sus versiones.
El uso de la trigonometría para identificar comportamientos humanos destaca entre estas tácticas, lo que sugiere que el sistema infectado no se está ejecutando en un entorno virtual.
Código para obtener los ángulos entre vectores a partir del desplazamiento del cursor
Ángulos entre vectores de movimiento del cursor de un punto a otro
Lumma rastrea la posición del cursor del ratón mediante la función 'GetCursor()' y registra cinco posiciones distintas en intervalos de 50 milisegundos. Luego, aplica la trigonometría para analizar estos puntos como vectores euclidianos, calculando los ángulos y magnitudes vectoriales resultantes del movimiento detectado.
Si los ángulos vectoriales resultan ser menores de 45 grados, Lumma asume que los movimientos no son simulados por un software, permitiendo así que su ejecución continúe. En cambio, si los ángulos son de 45 grados o más, el malware cesa su comportamiento malicioso, pero sigue monitoreando el movimiento del ratón hasta que detecta un patrón similar al humano.
La decisión de establecer un umbral de 45 grados en su mecanismo anti-sandbox es arbitraria y probablemente basada en datos empíricos o estudios sobre el funcionamiento de herramientas de análisis automatizado.
Otro aspecto interesante en la operativa de Lumma es su requisito de utilizar cifrado para proteger su código ejecutable de filtraciones a hackers y analistas de amenazas que no estén suscritos a su servicio. Lumma ahora verifica automáticamente un valor específico en una parte del archivo ejecutable para determinar si está cifrado, emitiendo una alerta en caso contrario.
Como medida defensiva adicional, Lumma 4.0 introduce complicaciones en su código, como predicados opacos que confunden la lógica del programa y bloques de código muerto dentro de segmentos funcionales, creando así desafíos adicionales y errores en el análisis.
Te podrá interesar leer: Herramientas de Aislamiento de Malware Potencial
La última versión del malware Lumma demuestra un enfoque más intensivo en evitar el análisis, introduciendo múltiples capas de protección diseñadas para frustrar y complicar los intentos de diseccionar y comprender sus mecanismos operativos.