Gebruikers die op zoek zijn naar cheats voor games worden misleid om een op Lua gebaseerde malware te downloaden die in staat is persistentie op geïnfecteerde systemen tot stand te brengen en extra ladingen te leveren.
“Deze aanvallen profiteren van de populariteit van Lua-gaming-engine-supplementen binnen de gemeenschap van studentengamers”, zei Morphisec-onderzoeker Shmuel Uzan in een nieuw rapport dat vandaag is gepubliceerd, en voegde eraan toe: “Deze malwaresoort komt veel voor in Noord-Amerika, Zuid-Amerika, Europa, Azië, en zelfs Australië.”
Details over de campagne werden voor het eerst gedocumenteerd door OALabs in maart 2024, waarbij gebruikers werden verleid tot het downloaden van een malware-lader geschreven in Lua door een gril in GitHub te misbruiken om kwaadaardige payloads te organiseren.
McAfee Labs heeft in een daaropvolgende analyse gedetailleerd beschreven hoe bedreigingsactoren dezelfde techniek gebruikten om een variant van de RedLine-informatiedief te leveren door de malware-dragende ZIP-archieven te hosten in legitieme Microsoft-opslagplaatsen.
“We hebben gebruikersaccounts en inhoud uitgeschakeld in overeenstemming met het Acceptable Use Policies van GitHub, dat het plaatsen van inhoud verbiedt die rechtstreeks onwettige actieve aanvallen of malwarecampagnes ondersteunt die technische schade veroorzaken”, vertelde GitHub destijds aan The Hacker News.
“We blijven investeren in het verbeteren van de veiligheid van GitHub en onze gebruikers, en onderzoeken maatregelen om ons beter te beschermen tegen deze activiteit.”
Morphisec’s analyse van de activiteit heeft een verschuiving in het mechanisme voor het afleveren van malware aan het licht gebracht, een vereenvoudiging die waarschijnlijk een poging is om onder de radar te blijven.
“De malware wordt vaak geleverd met behulp van versluierde Lua-scripts in plaats van gecompileerde Lua-bytecode, omdat deze laatste gemakkelijker argwaan kan wekken”, aldus Uzan.
Dat gezegd hebbende, blijft de algehele infectieketen onveranderd doordat gebruikers die op Google naar populaire cheat-script-engines zoals Solara en Electron zoeken, nepwebsites te zien krijgen die links naar booby-trapped ZIP-archieven in verschillende GitHub-repository’s insluiten.
Het ZIP-archief wordt geleverd met vier componenten: een Lua-compiler, een Lua runtime-interpreter-DLL (“lua51.dll”), een versluierd Lua-script en een batchbestand (“launcher.bat”), waarvan de laatste wordt gebruikt om uit te voeren het Lua-script met behulp van de Lua-compiler.
In de volgende fase brengt de lader – dat wil zeggen het kwaadaardige Lua-script – communicatie tot stand met een command-and-control (C2)-server en verzendt details over het geïnfecteerde systeem. De server voert als reactie daarop taken uit die verantwoordelijk zijn voor het handhaven van de persistentie of het verbergen van processen, of voor het downloaden van nieuwe payloads zoals Redone Stealer of CypherIT Loader.
“Infostealers winnen aan bekendheid in het landschap nu de verzamelde gegevens van deze aanvallen worden verkocht aan meer geavanceerde groepen om in latere stadia van de aanval te worden gebruikt,” zei Uzan. “RedLine heeft met name een enorme markt in Dark Web die deze geoogste referenties verkoopt.”
De onthulling komt dagen nadat Kaspersky meldde dat gebruikers die op zoek zijn naar illegale versies van populaire software op Yandex het doelwit zijn als onderdeel van een campagne die is ontworpen om een open-source cryptocurrency-miner genaamd SilentCryptoMiner te verspreiden door middel van een door AutoIt gecompileerd binair implantaat.
Het merendeel van de aanvallen was gericht op gebruikers in Rusland, gevolgd door Wit-Rusland, India, Oezbekistan, Kazachstan, Duitsland, Algerije, Tsjechië, Mozambique en Turkije.
“Malware werd ook verspreid via Telegram-kanalen gericht op crypto-investeerders en in beschrijvingen en commentaren op YouTube-video’s over cryptocurrency, cheats en gokken”, zei het bedrijf vorige week in een rapport.
“Hoewel het hoofddoel van de aanvallers is om winst te maken door heimelijk cryptocurrency te minen, kunnen sommige varianten van de malware aanvullende kwaadaardige activiteiten uitvoeren, zoals het vervangen van cryptocurrency-portefeuilles op het klembord en het maken van schermafbeeldingen.”