- Репозитории GitHub Host Whalware, который замаскирован под инструменты, вероятно, загрузит игроков и сотрудников по защите данных
- Фальшивая кампания VPN снижает вредоносное ПО непосредственно в AppData и скрывает ее из простого представления
- Внедрение процесса с помощью msbuild.exe позволяет этой вредоносной программе работать без запуска явных тревог.
Эксперты по безопасности предупредили о новой киберугрозе, которая влияет на фальшивое программное обеспечение VPN на GitHub.
Отчет по Cfygma Объясняет, как вредоносное ПО замаскирует себя как «бесплатный VPN для ПК», и пользователи побудили пользователей загрузить сложный падение для Lumma Seater.
То же самое вредоносное ПО также появилось под названием «Minecraft Skin Changer», которое происходило для игроков и случайных пользователей в поисках бесплатных инструментов.
Требовающая вредоносная цепочка скрыта за знакомыми программными приманками
После выполнения в Drop используется многоэтапная цепочка атак с покрытием, динамической нагрузкой DLL, памятью и неправильным использованием законных инструментов Windows, таких как MSBuild.exe и ASPNet_Regiis.exe, для поддержания скрытности и устойчивости.
Успех кампании зависит от использования GitHub для распространения. Репозиторий GitHub[.]COM/SAMAIOEC размещенные файлы ZIP, защищенные паролем, и подробные инструкции по использованию, что дает вредоносному ПО появлению легитимности.
Внутри полезная нагрузка завуалирована французским текстом и закодирована в Base64.
«То, что начинается с обманчивой бесплатной загрузки VPN, заканчивается с одним из Lumma Searer, который работает через заслуживающие доверия системные процессы с помощью Lumma Crower, введенного памятью», — сообщает Cyfirma.
Во время выполнения Launt.exe выполняет сложный процесс извлечения, который в папке AppData пользователя, декодированием и изменении файла DLL, msvcp110.dll.
Этот специальный DLL остается скрытым. Он динамически загружается в течение термина и вызывает функцию getGamedata (), чтобы вызвать последний этап полезной нагрузки.
Обратная инженерия Программное обеспечение является проблемой, основанной на стратегиях против отладки, таких как IsdebuggerPretent () чеки и налоговые транзакции.
В этой атаке используются стратегии MITRE-SATZ & CK, такие как боковая нагрузка DLL, обход песочницы и выполнение в памяти.
Как оставаться в безопасности
Чтобы оставаться защищенным от таких атак, пользователи должны избегать неофициального программного обеспечения, особенно всего, что продвигается как бесплатный VPN или Game -Mod.
Риски растет, когда выполняются неизвестные программы из репозитория, даже если они появляются на известных платформах.
Файлы, которые загружаются с GitHub или аналогичных платформ, никогда не должны быть заслуживают доверия по умолчанию, особенно если они доставляются в качестве защищенных паролем ZIP-архивов или содержат неясные шаги установки.
Пользователи никогда не должны выполнять исполнительные навыки из не редактирующих источников, независимо от того, насколько полезен этот инструмент.
Убедитесь, что вы активируете дополнительную защиту, деактивируя возможность того, что исполняемые функции папок, такие как AppData, могут быть выполнены, с которыми злоумышленники часто скрывают ваши полезные нагрузки.
Кроме того, файлы DLL в роуминге или временные папки должны быть идентифицированы для дальнейших экзаменов.
Обратите внимание на странные файловые действия на вашем компьютере и отслеживайте MSBuild.exe и другие задачи в диспетчете задач или системных инструментах, которые ведут себя за пределами обычной профилактики предыдущих инфекций.
Используйте лучший антивирус на техническом уровне, который предлагает обнаружение на основе поведения вместо того, чтобы полагаться исключительно на обычные сканирования, а также инструменты, которые предлагают защиту DDOS и защиту конечных точек, чтобы покрыть более широкий спектр угроз, включая инъекцию хранения, секретный процесс и злоупотребление API.
Вы также могли бы понравиться
