Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новая вредоносная кампания Lumma Stealer через GitHub-репозитории

14
3 мин
Недавний анализ, проведённый компанией CYFIRMA, выявил новую вредоносную кампанию, распространяющуюся через платформу GitHub. Злоумышленники маскируют вредоносное ПО под популярные и безобидные инструменты – например, «Бесплатный VPN для ПК» и «Средство смены скинов Minecraft». Основным компонентом атаки выступает вредоносная программа-дроппер Launch.exe, которая осуществляет сложную цепочку действий для внедрения в систему и передачи вредоносной нагрузки – известного крадущего информацию ПО Lumma Stealer. Распространение вредоносного ПО происходит через специально созданные репозитории GitHub. В них злоумышленники размещают поддельные проекты, снабжённые детальными инструкциями по эксплуатации, а также защищёнными паролем ZIP-архивами, что позволяет обходить стандартные меры безопасности платформы. Ключевые особенности кампании включают: После запуска Launch.exe вредоносное ПО удаляет DLL-файл msvcp110.dll из папки AppData пользователя. Этот файл содержит зашифрованную полезную нагруз
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

Недавний анализ, проведённый компанией CYFIRMA, выявил новую вредоносную кампанию, распространяющуюся через платформу GitHub. Злоумышленники маскируют вредоносное ПО под популярные и безобидные инструменты – например, «Бесплатный VPN для ПК» и «Средство смены скинов Minecraft». Основным компонентом атаки выступает вредоносная программа-дроппер Launch.exe, которая осуществляет сложную цепочку действий для внедрения в систему и передачи вредоносной нагрузки – известного крадущего информацию ПО Lumma Stealer.

Механизмы распространения и методы обхода защиты

Распространение вредоносного ПО происходит через специально созданные репозитории GitHub. В них злоумышленники размещают поддельные проекты, снабжённые детальными инструкциями по эксплуатации, а также защищёнными паролем ZIP-архивами, что позволяет обходить стандартные меры безопасности платформы. Ключевые особенности кампании включают:

  • Использование DLL-файла с кодировкой Base64 и сложной обфускацией, который динамически загружается и исполняется в памяти;
  • Применение легитимных системных процессов Windows, таких как MSBuild.exe и aspnet_regiis.exe, для обхода средств защиты и затруднения обнаружения вредоносной активности;
  • Присутствие бессмысленных метаданных сборки, не связанных ни с одним известным ПО или организацией, что свидетельствует об использовании методов сокрытия личности разработчика;
  • Вызов функций Windows API посредством P/Invoke для динамической загрузки DLL и управления выполнением, что обеспечивает гибкость и устойчивость вредоноса.

Работа вредоносного компонента и поддержание скрытности

После запуска Launch.exe вредоносное ПО удаляет DLL-файл msvcp110.dll из папки AppData пользователя. Этот файл содержит зашифрованную полезную нагрузку, спрятанную в формате Base64 с бессмысленным текстом вокруг, что затрудняет её анализ и обнаружение.

Для сохранения устойчивого присутствия в системе вредоносная программа использует несколько функций Windows, позволяющих выделять память и контролировать этапы своего выполнения, обеспечивая постоянство работы.

Коммуникация с управляющим сервером и связь с Lumma Stealer

Отметим, что вредоносное ПО пытается установить связь с командным сервером по домену explorationmsn.store. Анализ трафика и паттернов указывает на принадлежность этого домена известной инфраструктуре Lumma Stealer, что подтверждает причастность злоумышленников к этой вредоносной кампании.

Вызовы и перспективы противодействия

Данная кампания демонстрирует растущую угрозу использования платформ с открытым кодом, таких как GitHub, в качестве площадок для распространения вредоносного ПО. Это требует от специалистов по кибербезопасности следующих мер:

  • Внедрение усовершенствованных инструментов мониторинга репозиториев для своевременного обнаружения и блокировки вредоносного контента;
  • Использование разработанных правил YARA, которые помогают выявлять экземпляры Lumma Stealer, замаскированные под легитимные приложения, основываясь на специфичных доменах и хэш-суммах файлов;
  • Усиление контроля за репозиториями open source и повышение осведомлённости пользователей о рисках, связанных с установкой программ из сомнительных источников.

Отметим, что личность хакера, стоящего за данной кампанией, остаётся неизвестной. Это вызывает дополнительные трудности в установлении авторства и подтверждает необходимость комплексного поиска угроз в экосистеме open source для снижения рисков, связанных с APT-активностью.

«Наличие бессмысленных метаданных и использование легитимных системных процессов – яркие признаки современных техник уклонения от обнаружения, которые требуют от специалистов максимального внимания и новых подходов в защите», – отмечают эксперты CYFIRMA.

Таким образом, исследование подчёркивает важность постоянного мониторинга и анализа репозиториев кода, поскольку киберпреступники всё активнее используют популярные платформы для внедрения сложных вредоносных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая вредоносная кампания Lumma Stealer через GitHub-репозитории".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются