VietNetwork.Vn

Người dùng tìm kiếm phần mềm gian lận trong trò chơi đang bị lừa tải xuống phần mềm độc hại dựa trên Lua có khả năng tồn tại dai dẳng trên các hệ thống bị nhiễm và phát tán thêm các phần mềm độc hại khác.

"Những cuộc tấn công này lợi dụng sự phổ biến của các phần mềm bổ sung cho công cụ chơi game Lua trong cộng đồng game thủ là sinh viên", nhà nghiên cứu Shmuel Uzan của Morphisec cho biết trong một báo cáo mới được công bố ngày hôm nay, đồng thời nói thêm rằng "chủng phần mềm độc hại này rất phổ biến ở Bắc Mỹ, Nam Mỹ, Châu Âu, Châu Á và thậm chí cả Úc".

OALabs lần đầu tiên ghi lại thông tin chi tiết về chiến dịch này vào tháng 3 năm 2024, trong đó người dùng bị dụ tải xuống trình tải phần mềm độc hại được viết bằng Lua bằng cách khai thác một lỗ hổng trong GitHub để dàn dựng các phần mềm độc hại.

Trong một phân tích tiếp theo, McAfee Labs đã trình bày chi tiết cách các tác nhân đe dọa sử dụng cùng một kỹ thuật để phát tán một biến thể của phần mềm đánh cắp thông tin RedLine bằng cách lưu trữ các tệp ZIP chứa phần mềm độc hại trong các kho lưu trữ hợp pháp của Microsoft.

GitHub khi đó đã trả lời The Hacker News rằng: "Chúng tôi đã vô hiệu hóa tài khoản người dùng và nội dung theo Chính sách sử dụng được chấp nhận của GitHub, trong đó cấm đăng nội dung trực tiếp hỗ trợ các cuộc tấn công chủ động bất hợp pháp hoặc các chiến dịch phần mềm độc hại gây ra tác hại kỹ thuật".


"Chúng tôi tiếp tục đầu tư vào việc cải thiện tính bảo mật của GitHub và người dùng, đồng thời đang tìm kiếm các biện pháp để bảo vệ tốt hơn trước hoạt động này."

Phân tích hoạt động này của Morphisec đã phát hiện ra sự thay đổi trong cơ chế phát tán phần mềm độc hại, một sự đơn giản hóa có thể là nỗ lực nhằm tránh bị phát hiện.

Uzan cho biết: "Phần mềm độc hại thường được phát tán bằng các tập lệnh Lua được tối giản hóa thay vì mã byte Lua đã biên dịch vì mã byte Lua đã biên dịch có thể dễ dàng gây nghi ngờ hơn".

Tuy nhiên, chuỗi lây nhiễm tổng thể vẫn không thay đổi ở chỗ người dùng tìm kiếm các công cụ gian lận phổ biến như Solara và Electron trên Google sẽ được cung cấp các trang web giả mạo nhúng liên kết đến các tệp ZIP có bẫy trên nhiều kho lưu trữ GitHub khác nhau.

Tệp ZIP bao gồm bốn thành phần: Trình biên dịch Lua, trình thông dịch thời gian chạy Lua DLL ("lua51.dll"), một tập lệnh Lua được tối giản hóa và một tệp hàng loạt ("launcher.bat"), tệp cuối cùng được dùng để thực thi tập lệnh Lua bằng trình biên dịch Lua.

Ở giai đoạn tiếp theo, trình tải – tức là tập lệnh Lua độc hại – thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) và gửi thông tin chi tiết về hệ thống bị nhiễm. Để phản hồi, máy chủ sẽ đưa ra các tác vụ chịu trách nhiệm duy trì tính bền bỉ hoặc ẩn các quy trình hoặc tải xuống các tải trọng mới như Redone Stealer hoặc CypherIT Loader.

"Những kẻ đánh cắp thông tin đang nổi lên trong bối cảnh này khi thông tin đăng nhập thu thập được từ các cuộc tấn công này được bán cho các nhóm tinh vi hơn để sử dụng trong các giai đoạn sau của cuộc tấn công", Uzan cho biết. "RedLine đặc biệt có một thị trường lớn trên Dark web bán những thông tin đăng nhập thu thập được này".


Việc tiết lộ này được đưa ra vài ngày sau khi Kaspersky báo cáo rằng những người dùng tìm kiếm phiên bản lậu của phần mềm phổ biến trên Yandex đang trở thành mục tiêu trong chiến dịch được thiết kế nhằm phân phối một công cụ khai thác tiền điện tử mã nguồn mở có tên SilentCryptoMiner thông qua phần mềm cấy ghép nhị phân được biên dịch bởi AutoIt.

Phần lớn các cuộc tấn công nhắm vào người dùng ở Nga, tiếp theo là Belarus, Ấn Độ, Uzbekistan, Kazakhstan, Đức, Algeria, Cộng hòa Séc, Mozambique và Thổ Nhĩ Kỳ.

"Phần mềm độc hại cũng được phân phối thông qua các kênh Telegram nhắm vào các nhà đầu tư tiền điện tử và trong phần mô tả và bình luận trên các video trên YouTube về tiền điện tử, gian lận và cờ bạc", công ty cho biết trong báo cáo tuần trước.

"Mặc dù mục tiêu chính của kẻ tấn công là kiếm lợi nhuận bằng cách khai thác tiền điện tử một cách lén lút, một số biến thể của phần mềm độc hại có thể thực hiện các hoạt động độc hại bổ sung, chẳng hạn như thay thế ví tiền điện tử trong bảng tạm và chụp ảnh màn hình."