Usuários em busca de trapaças para jogos estão sendo enganados ao baixar um malware baseado em Lua capaz de estabelecer persistência nos sistemas infectados e entregar payloads adicionais.
"Esses ataques aproveitam a popularidade dos suplementos do motor de jogos Lua dentro da comunidade de estudantes gamers", disse o pesquisador da Morphisec, Shmuel Uzan, em um novo relatório publicado hoje, adicionando "essa cepa de malware é altamente prevalente na América do Norte, América do Sul, Europa, Ásia e até na Austrália." Detalhes sobre a campanha foram documentados pela primeira vez pela OALabs em março de 2024, onde usuários foram atraídos a baixar um loader de malware escrito em Lua, explorando uma peculiaridade no GitHub para montar payloads maliciosos.
O McAfee Labs, em uma análise subsequente, detalhou o uso, pelos atores de ameaça, da mesma técnica para entregar uma variante do stealer de informações RedLine, hospedando os arquivos ZIP contendo malware dentro de repositórios legítimos da Microsoft.
"Desativamos contas de usuários e conteúdos em conformidade com as Políticas de Uso Aceitável do GitHub, que proíbem a postagem de conteúdo que suporta diretamente ataques ativos ilegais ou campanhas de malware que estão causando danos técnicos", disse o GitHub.
"Continuamos a investir na melhoria da segurança do GitHub e de nossos usuários e estamos buscando medidas para proteger melhor contra essa atividade." A análise da Morphisec sobre a atividade revelou uma mudança no mecanismo de entrega de malware, uma simplificação que provavelmente é um esforço para passar despercebido.
"O malware é frequentemente entregue usando scripts Lua ofuscados em vez de bytecode Lua compilado, já que o último pode gerar suspeitas mais facilmente", disse Uzan.
Dito isso, a cadeia de infecção geral permanece inalterada, na medida em que usuários buscando motores de scripts de trapaça populares como Solara e Electron no Google são direcionados a sites falsos que incorporam links para arquivos ZIP armadilhados em vários repositórios do GitHub.
O arquivo ZIP vem com quatro componentes: Um compilador Lua, um DLL de interpretador de tempo de execução Lua ("lua51.dll"), um script Lua ofuscado, e um arquivo batch ("launcher.bat"), sendo este último usado para executar o script Lua usando o compilador Lua.
Na próxima etapa, o loader – isto é, o script Lua malicioso – estabelece comunicações com um servidor de comando e controle (C2) e envia detalhes sobre o sistema infectado.
O servidor, em resposta, emite tarefas que são responsáveis por manter a persistência ou esconder processos, ou baixar novos payloads, como Redone Stealer ou CypherIT Loader.
"Info stealers estão ganhando proeminência na paisagem, pois as credenciais colhidas desses ataques são vendidas a grupos mais sofisticados para serem usadas em estágios posteriores do ataque", disse Uzan.
RedLine, notavelmente, tem um grande mercado na Dark Web vendendo essas credenciais colhidas.
A divulgação ocorre dias depois da Kaspersky relatar que usuários procurando por versões piratas de softwares populares no Yandex estão sendo alvo de uma campanha desenhada para distribuir um minerador de criptomoedas de código aberto chamado SilentCryptoMiner por meio de um implante binário compilado com AutoIt.
A maioria dos ataques visou usuários na Rússia, seguida por Belarus, Índia, Uzbequistão, Cazaquistão, Alemanha, Argélia, República Tcheca, Moçambique e Turquia.
"Malware também foi distribuído através de canais do Telegram voltados para investidores de cripto e em descrições e comentários em vídeos no YouTube sobre criptomoeda, trapaças e jogos de azar", disse a empresa em um relatório na semana passada.
"Embora o principal objetivo dos atacantes seja lucrar minerando criptomoeda de forma furtiva, algumas variantes do malware podem realizar atividades maliciosas adicionais, como substituir carteiras de criptomoeda na área de transferência e tirar capturas de tela."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...