Эксперты по кибербезопасности из компании Outpost 24 выявили обновленную версию вируса LummaC2 4.0, который использует тригонометрические методы для отслеживания положения указателя мыши на экране. Этот подход позволяет вирусу определить присутствие пользователя, что делает его неактивным в «песочнице» и затрудняет его анализ.
«Песочница» представляет из себя среду, в которой эксперты по кибербезопасности могут изолировать подозрительные приложения и отслеживать их действия, предотвращая взаимодействие с уязвимым окружением. LummaC2 4.0, предназначенный для кражи данных, избегает активации в «песочнице», так как он стартует только при обнаружении активности пользователя за компьютером.
Вирус отслеживает пять ключевых точек положения курсора мыши, активируясь только при достаточно больших изменениях, которые указывают на наличие живого пользователя. Эти действия, характерные для человека, вычисляются с использованием тригонометрии. В случае отсутствия обнаружения пользователя, вредоносный код запускает цикл заново.
LummaC2 4.0 отличается от предыдущих версий более эффективными методами обфускации, усложняющими анализ кода, а также удобной панелью управления. Эти нововведения важны для вируса, который продается разработчиками. Эксперты отмечают, что новаторский механизм работы вируса затрудняет его изучение, требуя эмулятора движения мыши или анализа алгоритма отслеживания.
Тригонометрические методы, использованные в LummaC2 4.0, признаются как остроумное решение, однако эксперты сомневаются, что они будут решающим фактором для распространения вируса.