Especialistas em segurança cibernética do Outpost 24 descobriram uma versão atualizada do vírus LummaC2 4.0, que usa métodos trigonométricos para rastrear a posição do ponteiro do mouse na tela, determinando assim a presença do usuário – isso o ajuda a permanecer inativo em todos os outros momentos e dificulta o estudo na caixa de areia.
«O sandboxing permite que especialistas em segurança cibernética restrinjam o ambiente operacional de aplicativos suspeitos, onde suas atividades podem ser monitoradas isoladamente do ambiente vulnerável. Projetado para roubo de dados, o LummaC2 4.0 evita cair na sandbox porque só é ativado quando uma pessoa está trabalhando no computador.
O vírus rastreia a posição do cursor do mouse em cinco pontos-chave, o que o ajuda a ser acionado apenas quando a diferença entre suas posições é grande o suficiente para indicar um usuário vivo – as ações humanas são calculadas usando trigonometria. Se não for detectado, o malware inicia o ciclo novamente.
LummaC2 4.0 difere das versões anteriores em outras inovações, incluindo métodos de ofuscação mais eficazes – dificultando a análise do código e um painel de controle mais conveniente, o que é importante para um vírus vendido por desenvolvedores. Especialistas em segurança cibernética observam que o mecanismo inovador do LummaC2 4.0 torna seu estudo um tanto difícil: você precisará de um emulador de mouse baseado em padrões característicos de um usuário ativo ou da análise do algoritmo de rastreamento. Os métodos de análise trigonométrica são, obviamente, uma solução engenhosa, mas é improvável que se tornem um fator decisivo na propagação do vírus, têm certeza os especialistas.