MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
На GitHub снова распространяется зловред: на этот раз он маскируется под бесплатные утилиты вроде VPN для компьютера или Minecraft Skin Changer. В отчёте компании CYFIRMA говорится, что злоумышленники используют интерес к популярному софту, чтобы распространять Lumma Stealer — вредонос, который крадёт личные данные.
Цепочка заражения начинается с аккаунта github[.]com/SAMAIOEC, где были выложены «инструменты» с названиями вроде free-vpn-for-pc и minecraft-skin. Всё по классике: ZIP-архивы с паролем, подробные инструкции, чтобы вызвать доверие и обойти защиту браузеров.
Главная цель — заставить пользователя запустить файл Launch.exe. После этого начинается трёхступенчатая атака:
- Шифровка и обфускация: внутри Launch.exe зашита DLL в Base64, спрятанная за 1177 символами псевдофранцузского текста. Расшифровка идёт через самописную функцию SinCosMath().
- Засылка DLL и маскировка: зловред кладётся в AppData как
msvcp110.dqq, потом переименовывается вmsvcp110.dllи прячется через системные API Windows. - Запуск и внедрение: DLL грузится через
LoadLibrary()и запускает вредонос черезGetGameData(), затем внедряется в легитимные процессы вроде MSBuild.exe и aspnet_regiis.exe.
- Определять, не запущен ли он в отладке (через
IsDebuggerPresent()), - Маскироваться при помощи бессмысленных строк и запутанных циклов,
- Коммуницировать с доменом
explorationmsn[.]store, связанным с другими активностями Lumma Stealer.
Кто за этим стоит — неизвестно. CYFIRMA не нашла ни контактных данных, ни каких-либо других зацепок, позволяющих выйти на атакующего.
Итог простой, но тревожный: даже такие авторитетные платформы становятся каналом распространения вредоносов. Достаточно взять популярный поисковый запрос, выдать себя за полезный тул — и пользователь сам всё скачает и запустит.
CYFIRMA : мониторинг открытых репозиториев и проактивный анализ угроз сегодня важны как никогда. Бесплатный софт — это здорово, но доверяй и проверяй.
