資安業者Hudson Rock、資安新聞網站Bleeping Computer指出,開發竊資軟體Lumma的人士近期標榜一項新功能,他們能從受害電腦竊取與Google服務有關的cookie,使用者就算執行了登出,也依舊有效
上述的功能,雖然未得到研究人員或是Google的驗證,但這種挾持受害者Google帳號的能力,似乎並非特例,傳出有其他駭客掌握類似技術。
因為,事隔3天之後,另一名研究人員g0njxa發現,經營竊資軟體Rhadamanthys的駭客也宣稱提供類似的功能,所以,上述Bleeping Computer取得Lumma開發者的說法,很有可能是競爭對手從他們的竊資軟體複製而得。
對此,Bleeping Computer也向Google進一步確認,但沒有得到回應。不過,事隔數日,開發Lumma竊資軟體的駭客表示,Google近期在Token引入了新的限制,他們對此措施發布更新程式反制,買家仍舊能夠使用他們提供的功能,控制受害者的Google帳號。
針對這項手法,Hudson Rock的研究人員從感染竊資軟體Lumma的電腦上,發現駭客所宣稱的新格式cookie並進行研究,結果發現確實如對方所標榜,他們在瀏覽器注入這種cookie,就能存取受害者的Google帳號,而且,此cookie似乎不會過期。
然而,他們請受害者變更Gmail密碼再進行測試,這種cookie便不再有效。研究人員試圖向Lumma開發人員探聽虛實,對方向他們透露,攻擊者必須使用一種「反偵測瀏覽器(Anti-Detect Browser)」,混淆自己裝置的識別資訊,並偽裝成受害電腦的組態。這些研究人員也希望其他資安業者參與調查,表示願意提供前述取得的cookie檔案。
運用罕見手法已非首例
究竟此竊資軟體是否確實具備駭客標榜的功能?目前尚未有資安人員證實,但這些駭客在竊資軟體導入極為罕見的招式,並非首例。
例如,資安業者Outpost24揭露竊資軟體Lumma之前的攻擊行動,當時研究人員取得Lumma Stealer 4.0版進行分析,發現這些駭客運用了極為複雜的手法迴避偵測,當中的伎倆,包含:控制流程的扁平化混淆(Control Flow Flattening Obfuscation)、真人操作滑鼠行為的偵測、XOR加密、支援動態的組態檔案等。
其中最為特殊的是偵測使用者操作滑鼠的行為,駭客為了確認此惡意程式是否在研究人員的沙箱環境執行,他們利用三角學(Trigonometry)來追蹤滑鼠游標的位置,以50毫秒的間隔記錄5個位置,然後透過歐幾里得向量(Euclidean Vector)進行計算,若是得出的角度低於45度,才會認定是人類操作的行為,執行該竊資軟體。
