Os usuários que procuram cheats para jogos estão sendo induzidos a baixar um malware baseado em Lua que é capaz de estabelecer persistência em sistemas infectados e entregar cargas adicionais.
“Esses ataques capitalizam a popularidade dos suplementos do mecanismo de jogos Lua dentro da comunidade de estudantes jogadores”, disse o pesquisador da Morphisec, Shmuel Uzan, em um novo relatório publicado hoje, acrescentando que “esta cepa de malware é altamente prevalente na América do Norte, América do Sul, Europa, Ásia, e até mesmo a Austrália.”
Os detalhes sobre a campanha foram documentados pela primeira vez pelo OALabs em março de 2024, quando os usuários foram atraídos para baixar um carregador de malware escrito em Lua, explorando uma peculiaridade no GitHub para preparar cargas maliciosas.
O McAfee Labs, em uma análise subsequente, detalhou o uso da mesma técnica pelos agentes de ameaças para entregar uma variante do ladrão de informações RedLine, hospedando os arquivos ZIP contendo malware em repositórios legítimos da Microsoft.
“Desativamos contas de usuários e conteúdo de acordo com as Políticas de Uso Aceitável do GitHub, que proíbem a postagem de conteúdo que apoie diretamente ataques ativos ilegais ou campanhas de malware que estão causando danos técnicos”, disse o GitHub ao The Hacker Information na época.
“Continuamos investindo na melhoria da segurança do GitHub e de nossos usuários, e estamos buscando medidas para melhor proteção contra essa atividade.”
A análise da atividade da Morphisec revelou uma mudança no mecanismo de distribuição de malware, uma simplificação que provavelmente é um esforço para passar despercebido.
“O malware é frequentemente entregue usando scripts Lua ofuscados em vez de bytecode Lua compilado, já que este último pode desencadear suspeitas mais facilmente”, disse Uzan.
Dito isso, a cadeia geral de infecção permanece inalterada, pois os usuários que pesquisam mecanismos de script de trapaça populares, como Solara e Electron no Google, recebem websites falsos que incorporam hyperlinks para arquivos ZIP com armadilhas em vários repositórios GitHub.
O arquivo ZIP vem com quatro componentes: um compilador Lua, uma DLL interpretadora de tempo de execução Lua (“lua51.dll”), um script Lua ofuscado e um arquivo em lote (“launcher.bat”), o último dos quais é usado para executar o script Lua usando o compilador Lua.
Na próxima etapa, o carregador – ou seja, o script Lua malicioso – estabelece comunicação com um servidor de comando e controle (C2) e envia detalhes sobre o sistema infectado. O servidor, em resposta, emite tarefas que são responsáveis por manter a persistência ou ocultar processos, ou baixar novas cargas, como Redone Stealer ou CypherIT Loader.
“Os infostealers estão ganhando destaque no cenário à medida que as credenciais coletadas desses ataques são vendidas a grupos mais sofisticados para serem usadas em estágios posteriores do ataque”, disse Uzan. “A RedLine tem notavelmente um enorme mercado na Darkish Net vendendo essas credenciais coletadas.”
A divulgação ocorre dias depois que a Kaspersky relatou que usuários que procuram versões piratas de software program widespread no Yandex estão sendo alvo de uma campanha projetada para distribuir um minerador de criptomoeda de código aberto chamado SilentCryptoMiner por meio de um implante binário compilado pelo AutoIt.
A maioria dos ataques teve como alvo utilizadores na Rússia, seguida pela Bielorrússia, Índia, Uzbequistão, Cazaquistão, Alemanha, Argélia, República Checa, Moçambique e Turquia.
“O malware também foi distribuído por meio de canais do Telegram direcionados a investidores em criptomoedas e em descrições e comentários em vídeos do YouTube sobre criptomoedas, cheats e jogos de azar”, disse a empresa em um relatório na semana passada.
“Mesmo que o principal objetivo dos invasores seja lucrar com a mineração furtiva de criptomoedas, algumas variantes do malware podem realizar atividades maliciosas adicionais, como substituir carteiras de criptomoedas na área de transferência e fazer capturas de tela.”