- Los repositorios de GitHub alojan malware disfrazado de herramientas que los jugadores, y los solicitantes de privacidad pueden descargar
- La campaña VPN falsa deja malware directamente a AppData y lo esconde desde Plain View
- Inyección de proceso a través de msbuild.exe permite que este malware funcione sin activar alarmas obvias
Los expertos en seguridad han advertido sobre una nueva amenaza cibernética emergente que involucra un software VPN falso alojado en Github.
Un informe de Cyfirma describe cómo el malware se disfraza de sí mismo como una “VPN gratuita para PC” y atrae a los usuarios a descargar lo que es, de hecho, un cuentagotas sofisticado para el robador de Lumma.
El mismo malware también apareció bajo el nombre “Minecraft Skin Changer”, dirigido a jugadores y usuarios casuales en busca de herramientas gratuitas.
La sofisticada cadena de malware se esconde detrás del cebo de software familiar
Una vez ejecutado, el cuentagotas utiliza una cadena de ataque de varias etapas que implica ofuscación, carga dinámica de DLL, inyección de memoria y abuso de herramientas legítimas de Windows como msbuild.exe y aspnet_regiis.exe para mantener el sigilo y la persistencia.
El éxito de la campaña depende de su uso de GitHub para la distribución. El repositorio github[.]Com/Samaioec organizó archivos zip protegidos con contraseña e instrucciones de uso detalladas, dando al malware una apariencia de legitimidad.
En el interior, la carga útil se ofusta con texto francés y se codifica en Base64.
“Lo que comienza con una descarga de VPN gratuita engañosa termina con un robador de lumma inyectado en memoria que opera a través de procesos de sistemas de confianza”, informa Cyfirma.
Tras la ejecución, elunch.exe realiza un proceso de extracción sofisticado, decodificando y alterando una cadena codificada Base64 para soltar un archivo DLL, MSVCP110.dll, en la carpeta AppData del usuario.
Esta DLL en particular permanece oculta. Se carga dinámicamente durante el tiempo de ejecución y llama a una función, getGamedata (), para invocar la última etapa de la carga útil.
Ingeniería inversa El software es un desafío debido a estrategias anti-fondos como las verificaciones de ISDebuggerPresent () y la ofuscación de flujo de control.
Este ataque utiliza estrategias de Mitre ATT y CK como la carga lateral de DLL, la evasión de sandbox y la ejecución en memoria.
Cómo mantenerse a salvo
Para mantenerse protegidos de ataques como este, los usuarios deben evitar un software no oficial, especialmente cualquier cosa promovida como una VPN o un mod de juego gratuito.
Los riesgos aumentan al ejecutar programas desconocidos de repositorios, incluso si aparecen en plataformas de buena reputación.
Los archivos descargados de GitHub o plataformas similares nunca deben confiarse de forma predeterminada, particularmente si vienen como archivos ZIP protegidos con contraseña o incluyen pasos de instalación oscuros.
Los usuarios nunca deben ejecutar ejecutables de fuentes no verificadas, sin importar cuán útil pueda parecer la herramienta.
Asegúrese de activar la protección adicional al deshabilitar la capacidad de que los ejecutables se ejecuten desde carpetas como AppData, que los atacantes usan a menudo para ocultar sus cargas útiles.
Además, los archivos DLL que se encuentran en las carpetas de roaming o temporales deben marcarse para una mayor investigación.
Tenga cuidado con la actividad de archivos extraños en su computadora y monitoree para msbuild.exe y otras tareas en el administrador de tareas o herramientas del sistema que se comportan fuera de lo común para prevenir infecciones tempranas.
En un nivel técnico, use el mejor antivirus que ofrezca una detección basada en el comportamiento en lugar de depender únicamente de los escaneos tradicionales, junto con las herramientas que proporcionan protección DDoS y protección de punto final para cubrir una gama más amplia de amenazas, incluida la inyección de memoria, la creación de procesos sigilosos y el abuso de API.
