Table of Contents
Introdução
No cenário atual da cibersegurança, usuários em busca de cheats para jogos estão sendo enganados ao baixar um malware baseado em Lua. Este tipo de ameaça é capaz de estabelecer persistência em sistemas infectados e entregar cargas adicionais.
Análise da Ameaça
De acordo com o pesquisador da Morphisec, Shmuel Uzan, as campanhas de ataque estão capitalizando sobre a popularidade de suplementos do motor de jogos Lua dentro da comunidade de gamers estudantes. Uzan afirma que “esta cepa de malware é altamente prevalente na América do Norte, América do Sul, Europa, Ásia e até mesmo na Austrália.”
Documentação da Campanha
Os detalhes sobre a campanha foram documentados pela primeira vez pela OALabs em março de 2024, onde os usuários foram levados a baixar um loader de malware escrito em Lua ao explorar uma peculiaridade no GitHub para staging de cargas maliciosas.
Análise da McAfee Labs
A McAfee Labs, em uma análise subsequente, detalhou a utilização dos mesmos métodos de ataque por parte de cibercriminosos para fornecer uma variante do RedLine, um stealer de informações, através do hospedamento de arquivos ZIP maliciosos em repositórios legítimos da Microsoft.
“Desativamos contas de usuários e conteúdos em conformidade com as Políticas de Uso Aceitável do GitHub, que proíbem a postagem de conteúdos que apoiam diretamente ataques ilegais ou campanhas de malware que causam danos técnicos,” comentou o GitHub.
Mecanismo de Entrega do Malware
A análise da Morphisec revelou uma mudança no mecanismo de entrega do malware, uma simplificação que parece ser um esforço para operar sem chamar atenção.
- O malware é frequentemente entregue utilizando scripts Lua ofuscados
- A entrega dessa forma evita suspeitas que podem ocorrer com bytecode de Lua compilado
Cadeia de Infecção
A cadeia de infecção permanece inalterada: usuários que pesquisam por motores de script de cheat populares, como Solara e Electron, no Google são direcionados a sites falsos que incorporam links para arquivos ZIP armadilhados em vários repositórios do GitHub.
O arquivo ZIP contém quatro componentes principais:
- Um compilador Lua
- Um DLL interpretador de tempo de execução Lua (“lua51.dll”)
- Um script Lua ofuscado
- Um arquivo de lote (“launcher.bat”) utilizado para executar o script Lua
Funcionamento do Loader Malicioso
Na próxima etapa, o loader – ou seja, o script Lua malicioso – estabelece comunicações com um servidor de comando e controle (C2), enviando detalhes sobre o sistema infectado. O servidor, em resposta, emite tarefas que são responsáveis por manter a persistência ou ocultar processos, ou baixar novas cargas, como o Redone Stealer ou CypherIT Loader.
“Os infostealers estão ganhando proeminência no cenário, já que as credenciais coletadas desses ataques são vendidas para grupos mais sofisticados para serem usadas em estágios posteriores do ataque,” Uzan observou. “O RedLine possui um mercado significativo na dark web para venda dessas credenciais coletadas.”
Campanhas Relacionadas
A divulgação dessa ameaça acontece dias após a Kaspersky relatar que usuários em busca de versões piratas de softwares populares no Yandex estão sendo alvo de uma campanha destinada a distribuir um minerador de criptomoedas de código aberto chamado SilentCryptoMiner.
A maioria dos ataques visou usuários na Rússia, seguidos por Belarus, Índia, Uzbequistão, Cazaquistão, Alemanha, Argélia, República Tcheca, Moçambique e Turquia.
“O malware também foi distribuído através de canais do Telegram direcionados a investidores em criptomoedas e em descrições e comentários em vídeos do YouTube sobre criptomoedas, cheats e jogos de azar,” informou a Kaspersky.
“Embora o principal objetivo dos atacantes seja lucrar através da mineração de criptomoedas de forma furtiva, algumas variantes do malware podem realizar atividades maliciosas adicionais, como substituir carteiras de criptomoedas na área de transferência e tirar capturas de tela.”
#Cibersegurança, #Malware, #Jogos, #Lua, #RedLine, #Infecção, #Phishing, #Criptomoeda
autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html