Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Lumma Stealer: nexe-исполняемые файлы в поддельных обновлениях игр

1
3 мин
Новая киберугроза под названием Lumma Stealer использует хорошо знакомую социальную технику — подделку обновлений игр — но сочетает её с необычными техническими приёмами. Злоумышленники размещают спам-комментарии под легальными проектами на Itch.io и Patreon, направляя пользователей на скачивание архива под видом патча. Внешне безобидный архив с названием «Обновлено Version.zip» содержит исполняемый файл «game.exe», который и является точкой входа для атаки. Пользователь скачивает архив по ссылке из комментария и запускает game.exe, ожидая обновление игры. На самом деле исполняемый файл не выполняет никаких легитимных действий по обновлению — вместо этого он разворачивает вредоносную цепочку, которая крадёт данные и загружает дополнительные компоненты. «После исполнения «game.exe» не выполняет никаких законных действий по обновлению.» Статический анализ показал, что бинарник скомпилирован с помощью nexe — инструмента, который упаковывает приложения Node.js в исполняемые файлы формата P
Оглавление

Новая киберугроза под названием Lumma Stealer использует хорошо знакомую социальную технику — подделку обновлений игр — но сочетает её с необычными техническими приёмами. Злоумышленники размещают спам-комментарии под легальными проектами на Itch.io и Patreon, направляя пользователей на скачивание архива под видом патча. Внешне безобидный архив с названием «Обновлено Version.zip» содержит исполняемый файл «game.exe», который и является точкой входа для атаки.

Суть атаки

Пользователь скачивает архив по ссылке из комментария и запускает game.exe, ожидая обновление игры. На самом деле исполняемый файл не выполняет никаких легитимных действий по обновлению — вместо этого он разворачивает вредоносную цепочку, которая крадёт данные и загружает дополнительные компоненты.

«После исполнения «game.exe» не выполняет никаких законных действий по обновлению.»

Технические особенности вредоноса

Статический анализ показал, что бинарник скомпилирован с помощью nexe — инструмента, который упаковывает приложения Node.js в исполняемые файлы формата PE. Это примечательно: оператор использует не классический скомпилированный dropper, а упаковку Node.js-приложения в PE, что ранее широко не освещалось в контексте подобных угроз.

Основные технические моменты:

  • Исполняемый файл упакован как nexe-приложение и загружает Node.js-модуль в рантайме.
  • Полезная нагрузка хранится в кодировке Base64 (вариант), декодируется и подключается как Node.js-модуль.
  • Несмотря на кодирование и упаковку, различия в именах переменных и функций остаются узнаваемыми после декодирования, что указывает на повторяющуюся, но адаптируемую структуру кода.

Механизмы антианализа

Lumma Stealer применяет передовые контрмеры, чтобы затруднить исследование в песочнице и анализ в виртуальной среде. Среди них — детекция виртуальной машины: вредонос проверяет объём системной памяти и количество ядер процессора; если система выглядит как VM, выполнение прекращается. Этот приём эффективно защищает образцы от автоматизированного анализа.

Организация кампании

Атака демонстрирует систематический подход оператора:

  • Создание множества спам-аккаунтов для публикаций под разными проектами.
  • Распространение нескольких вариантов файлов, скомпилированных с помощью nexe, с использованием различных методов кодирования.
  • Единый паттерн в коде, видимый по именам переменных и функций, — признак единого оператора, но с возможностью быстрой адаптации.

Последствия и рекомендации

Сочетание социальной инженерии и нетривиальной упаковки делает кампанию опасной: пользователи, доверяющие комментариям и не проверяющие источник загрузки, рискуют компрометацией учётных данных и утечкой информации.

Рекомендации для пользователей и администраторов:

  • Не скачивайте обновления и патчи из комментариев — используйте официальные страницы разработчиков.
  • Проверяйте цифровые подписи и контрольные суммы файлов, если разработчик их предоставляет.
  • Ограничьте привилегии пользователей и не запускайте неизвестные исполняемые файлы под учётной записью администратора.
  • Используйте EDR/ANTIVIRUS с анализом поведения и детекцией упаковщиков типа nexe.
  • При исследовании образцов учтите, что вредонос может детектировать VM — применяйте разнообразные методики анализа и физические стенды.

Вывод

Lumma Stealer демонстрирует эволюцию методов доставки и сокрытия вредоносного ПО: злоумышленники комбинируют социальную инженерию с неожиданной для многих упаковкой Node.js-приложений в PE через nexe, плюс эффективные анти-VM меры. Это увеличивает сложность обнаружения и требует от специалистов по безопасности внимательного мониторинга платформ распространения контента (Itch.io, Patreon), а также адаптации инструментов анализа и защитных мер.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Lumma Stealer: nexe-исполняемые файлы в поддельных обновлениях игр".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются