



ИБ-исследователи нашли поддельный бесплатный VPN и Minecraft-моды на GitHub, распространяющие вредоносное ПО
Исследование Cyfirma показало, что вредоносное ПО скрывается под названием «бесплатный VPN для ПК». Преступники распространяют ВПО через GitHub. Однако в отчёте сказано, что вредоносы маскируются не только под бесплатные VPN, но и под модификации Minecraft. Вредонос распространялся под названием Minecraft Skin Changer. Целью зловреда выступает установка дроппера для Lumma Stealer.
Lumma Stealer — это вредоносная программа, предназначенная для кражи данных с заражённого компьютера. Она извлекает логины, пароли, куки, данные автозаполнения, информацию о системе и приложениях, включая криптокошельки и мессенджеры. После сбора данные передаются злоумышленникам. Lumma Stealer распространяется через фишинг, вредоносные архивы и сторонние загрузчики. Известна с 2022 года, продаётся на подпольных форумах и используется по модели Malware-as-a-Service (вредоносное ПО как услуга).
После запуска вредоносная программа выполняет цепочку действий. ВПО использует обфускацию, загружает DLL-файлы, внедряется в память и применяет системные процессы Windows. Злоупотребление MSBuild.exe и aspnet_regiis.exe помогает скрыть активность. Сам процесс начинается с файла Launch.exe. Процесс декодирует строку в формате Base64, извлекает зашифрованный код и создаёт DLL-файл msvcp110.dll в папке AppData. Библиотека скрыта. Она запускается во время работы программы и вызывает функцию GetGameData().
Архивы распространяются через репозиторий github[.]com/SAMAIOEC. Сами архивы содержат инструкции и защищены паролем, что создаёт видимость легального ПО. Полезная нагрузка зашифрована. Текст внутри оформлен на французском языке и дополнительно закодирован в Base64. Все перечисленное усложняет анализ.
Также это ВПО защищено от анализа. Оно проверяет наличие
Читать на habr.com