Le STEALER (Malware voleur de données) Lumma pourrait restaurer les cookies d'authentification Google expirés

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Messages : 17689
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Le STEALER (Malware voleur de données) Lumma pourrait restaurer les cookies d'authentification Google expirés

par Parisien_entraide »

2023-11-22_141443.jpg

Le stealer (Malware voleur d'informations) Lumma (alias « LummaC2 ») fait la promotion d'une nouvelle fonctionnalité :


Celle-ci permettrait aux cybercriminels de restaurer les cookies Google expirés, qui peuvent être utilisés pour pirater des comptes Google.



Trojan Stealer : le malware qui vole des données
https://www.malekal.com/trojan-stealer/


Les cookies de session sont des cookies Web spécifiques utilisés pour permettre à une session de navigation de se connecter automatiquement aux services d'un site Web.
Qu’est-ce que le vol de cookies et le détournement de session ?
https://www.malekal.com/quest-ce-que-le ... e-session/

Comme ces cookies permettent à toute personne les possédant de se connecter au compte du propriétaire, ils ont généralement une durée de vie limitée pour des raisons de sécurité afin d'éviter toute utilisation abusive en cas de vol.

La restauration de ces cookies permettrait aux opérateurs Lumma d'obtenir un accès non autorisé à n'importe quel compte Google même après que le propriétaire légitime se soit déconnecté de son compte ou que sa session ait expiré.

Un autre stealer, Rhadamanthys, a annoncé une fonctionnalité similaire dans une récente mise à jour, augmentant ainsi la probabilité que les auteurs de logiciels malveillants découvrent une faille de sécurité exploitable.

Si les stealers peuvent effectivement restaurer les cookies Google expirés comme annoncé ;
Les utilisateurs ne peuvent rien faire pour protéger leurs comptes jusqu'à ce que Google propose un correctif en plus d'empêcher l'infection par un logiciel malveillant qui conduit au vol de ces cookies.




PRECAUTIONS


Les précautions consistent notamment à

- Eviter de télécharger des fichiers torrent
et
- des exécutables Programmes, jeux, (légitimes ou crackés) à partir de sites Web douteux et à
et
- Ignorer les résultats promus dans la recherche Google.



Source et autres détails https://www.bleepingcomputer.com/news/s ... h-cookies/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 17689
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Le malware Lumma Stealer utilise désormais la trigonométrie pour échapper à la détection

par Parisien_entraide »

2023-11-22_143725.jpg
TECHNIQUE ANTI SANDBOX DU STEALER LUMMA : EXPLOITER LA TRIGONOMETRIE POUR LA DETECTION DU COMPORTEMENT HUMAIN


Lumma utilise désormais une tactique intéressante pour échapper à la détection par les logiciels de sécurité : la mesure des mouvements de la souris à l'aide de la trigonométrie pour déterminer si le malware s'exécute sur une machine réelle ou sur un bac à sable antivirus.

la nouvelle version 4.0 de Lumma Stealer a révélé plusieurs mises à jour importantes sur la manière dont le malware échappe à la détection et contrecarre l'analyse automatisée de ses échantillons.

Ces techniques d'évasion incluent

Code : Tout sélectionner

- l'obfuscation par aplatissement du flux de contrôle, 
- la détection de l'activité humaine-souris, 
- les chaînes cryptées XOR, 
- la prise en charge des fichiers de configuration dynamiques 
- l'application de l'utilisation du chiffrement sur toutes les versions.

Le plus intéressant des mécanismes ci-dessus est l’utilisation de la trigonométrie pour détecter le comportement humain, indiquant que le système infecté n’est pas simulé dans un environnement virtuel.


TECHNIQUE

Le malware suit la position du curseur de la souris sur l'hôte à l'aide de la fonction « GetCursor() » et enregistre une série de cinq positions distinctes à intervalles de 50 millisecondes.

Il applique ensuite la trigonométrie pour analyser ces positions en tant que vecteurs euclidiens, en calculant les angles et les magnitudes vectorielles formés à partir du mouvement détecté.

Si les angles vectoriels calculés sont inférieurs à 45 degrés, Lumma suppose que les mouvements du malware ne sont pas émulés par le logiciel, permettant ainsi à l'exécution de se poursuivre.

Si les angles sont de 45 degrés ou plus, le logiciel malveillant arrête tout comportement malveillant mais continue de surveiller les mouvements de la souris jusqu'à ce qu'un comportement semblable à celui d'un humain soit détecté.

Le choix d'un seuil de 45 degrés dans le mécanisme anti-sandbox de Lumma est une valeur arbitraire fixée par le développeur du malware et est probablement basée sur des données empiriques ou des recherches sur le fonctionnement d'outils d'analyse automatisés.

Un autre développement intéressant concernant l'opération Lumma est la nécessité d'utiliser un crypteur pour protéger le malware exécutable contre les fuites vers des pirates informatiques et des analystes de menaces non payants.

Lumma vérifie désormais automatiquement une valeur spécifique à un certain décalage dans le fichier exécutable pour déterminer si elle est cryptée et envoie un avertissement si ce n'est pas le cas.

Comme dernière ligne de défense contre un examen minutieux, Lumma 4.0 intègre des obstacles dans son code, comme des prédicats opaques qui compliquent inutilement la logique du programme, et des blocs de code mort injectés dans des segments de code fonctionnel pour créer de la confusion et des erreurs d'analyse.

La dernière version du voleur Lumma met davantage l’accent sur l’évasion de l’analyse, en introduisant plusieurs niveaux de mesures de protection conçues pour contrecarrer et compliquer toute tentative de disséquer et de comprendre ses mécanismes.


Autres détails : https://outpost24.com/blog/lummac2-anti ... detection/

Pour en savoir plus sur LUMMA
https://www.intrinsec.com/wp-content/up ... report.pdf
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »