Jogadores que buscam Cheats estão sendo enganados para baixar malware baseado em Lua capaz de manter persistência em sistemas infectados e implantar payloads maliciosos adicionais.
“Esses ataques exploram o uso generalizado de ferramentas de mecanismo de jogo Lua, especialmente entre jogadores estudantes”, disse o pesquisador da Morphisec Shmuel Uzan em um relatório recém-publicado. Ele observou ainda que “essa cepa de malware viu atividade significativa na América do Norte, América do Sul, Europa, Ásia e Austrália”.
A campanha foi descoberta inicialmente pelo OALabs em março de 2024, onde os usuários foram atraídos para baixar um malware loader baseado em Lua. Isso foi alcançado aproveitando uma vulnerabilidade do GitHub para hospedar e distribuir payloads maliciosos.
McAfee Labs confirmou mais tarde que os agentes de ameaças empregaram técnicas semelhantes para distribuir uma variante do RedLine information Stealer, incorporando arquivos ZIP carregados de malware em repositórios autênticos da Microsoft.
O GitHub respondeu afirmando: “Desabilitamos contas de usuários e conteúdo de acordo com nossas Políticas de Uso Aceitáveis, que proíbem conteúdo que promova ataques ilegais ou campanhas de malware que causem danos técnicos.”
“Estamos investindo continuamente para melhorar a segurança do GitHub e proteger nossos usuários, e estamos explorando novas medidas para melhor nos defender contra esse tipo de atividade.”
A investigação da Morphisec revelou uma mudança na estratégia de entrega de malware, simplificando o processo para evitar a detecção.
“O malware agora é normalmente distribuído por scripts Lua ofuscados em vez de bytecode Lua compilado, o que tende a atrair menos suspeitas”, explicou Uzan.
No entanto, o processo geral de infecção permanece inalterado. Usuários que procuram por mecanismos de script de cheats populares como Solara e Electron no Google são levados a sites falsos, que vinculam a arquivos ZIP maliciosos hospedados em vários repositórios do GitHub.
Cada arquivo ZIP contém quatro elementos: um compilador Lua, um interpretador de tempo de execução Lua DLL (“lua51.dll”), um script Lua ofuscado e um arquivo em lote (“launcher.bat”) que executa o script Lua por meio do compilador Lua.
Na próxima fase, o script Lua malicioso – atuando como um carregador – estabelece uma conexão com um servidor de comando e controle (C2), transmitindo detalhes sobre o sistema comprometido. O servidor então emite instruções para manter a persistência, ocultar processos maliciosos ou baixar cargas úteis adicionais como Redone Stealer ou CypherIT Loader.
“Infostealers estão se tornando mais proeminentes, pois as credenciais roubadas são vendidas a grupos mais avançados para estágios posteriores de ataques”, disse Uzan. “A RedLine, em particular, tem um mercado próspero na Dark Web para essas credenciais roubadas.”
Esta divulgação ocorre poucos dias após a Kaspersky revelar uma campanha direcionada a usuários que buscam versões piratas de softwares populares no Yandex. A operação visa distribuir o SilentCryptoMiner, um minerador de criptomoedas open source, por meio de um implante binário compilado pelo AutoIt.
A maioria dos ataques se concentrou em usuários na Rússia, com alvos adicionais na Bielorrússia, Índia, Uzbequistão, Cazaquistão, Alemanha, Argélia, República Tcheca, Moçambique e Turquia.
De acordo com um relatório da empresa na semana passada, “Malware também foi espalhado por canais do Telegram voltados para investidores de cripto e por meio de descrições e comentários em vídeos do YouTube relacionados a criptomoedas, cheats e jogos de azar.”
Embora o objetivo principal dos invasores seja minerar criptomoedas secretamente para obter lucro, algumas variantes do malware são capazes de realizar ações prejudiciais adicionais, como substituir endereços de wallets de criptomoedas na área de transferência e fazer capturas de tela.
Fonte: TheHackerNews