مخازن GitHub میزبان بدافزارهایی هستند که به عنوان ابزارهایی مبدل شده اند که گیمرها و جویندگان حریم خصوصی احتمالا دانلود می کنند.

کمپین جعلی VPN بدافزار را مستقیماً در AppData می‌اندازد و آن را از دید ساده پنهان می‌کند

تزریق فرآیند از طریق MSBuild.exe به این بدافزار اجازه می دهد تا بدون ایجاد آلارم های آشکار عمل کند

کارشناسان امنیتی در مورد یک تهدید سایبری جدید در حال ظهور شامل نرم افزار جعلی VPN که در GitHub میزبانی می شود، هشدار داده اند.

گزارشی از Cyfirma نشان می‌دهد که چگونه بدافزار خود را به‌عنوان «وی‌پی‌ان رایگان برای رایانه شخصی» پنهان می‌کند و کاربران را به بارگیری چیزی که در واقع یک قطره چکان پیچیده برای Lumma Stealer است، فریب می‌دهد.

همین بدافزار با نام Minecraft Skin Changer نیز ظاهر شد و گیمرها و کاربران عادی را در جستجوی ابزارهای رایگان هدف قرار داد.

زنجیره بدافزار پیچیده پشت طعمه نرم افزار آشنا پنهان می شود

پس از اجرا، قطره چکان از یک زنجیره حمله چند مرحله ای شامل مبهم سازی، بارگذاری DLL پویا، تزریق حافظه و سوء استفاده از ابزارهای قانونی ویندوز مانند MSBuild.exe و aspnet_regiis.exe برای حفظ مخفی کاری و ماندگاری استفاده می کند.

موفقیت این کمپین به استفاده از GitHub برای توزیع بستگی دارد. مخزن github[.]com/SAMAIOEC میزبان فایل‌های ZIP محافظت‌شده با رمز عبور و دستورالعمل‌های دقیق استفاده بود که به بدافزار ظاهری مشروع می‌داد.

در داخل، محموله با متن فرانسوی مبهم شده و در Base64 کدگذاری شده است.

Cyfirma گزارش می‌دهد: «آنچه با دانلود رایگان VPN فریبنده شروع می‌شود، با یک Lumma Stealer با حافظه تزریق می‌شود که از طریق فرآیندهای سیستم قابل اعتماد کار می‌کند.»

پس از اجرا، Launch.exe یک فرآیند استخراج پیچیده را انجام می دهد، یک رشته رمزگذاری شده با Base64 را رمزگشایی و تغییر می دهد تا یک فایل DLL، msvcp110.dll، در پوشه AppData کاربر رها شود.

این DLL خاص پنهان می ماند. در طول زمان اجرا به صورت پویا بارگذاری می شود و تابعی به نام GetGameData() را برای فراخوانی آخرین مرحله از payload فراخوانی می کند.

مهندسی معکوس نرم افزار به دلیل استراتژی های ضد اشکال زدایی مانند بررسی های IsDebuggerPresent() و کنترل مبهم سازی جریان چالش برانگیز است.

این حمله از استراتژی‌های MITER ATT&CK مانند بارگذاری جانبی DLL، فرار از جعبه شنی و اجرای در حافظه استفاده می‌کند.

چگونه ایمن بمانیم

برای در امان ماندن در برابر حملاتی مانند این، کاربران باید از نرم افزارهای غیر رسمی، به ویژه هر چیزی که به عنوان یک VPN رایگان یا مد بازی تبلیغ می شود، اجتناب کنند.

خطرات هنگام اجرای برنامه های ناشناخته از مخازن افزایش می یابد، حتی اگر در پلتفرم های معتبر ظاهر شوند.

فایل‌های دانلود شده از GitHub یا پلتفرم‌های مشابه هرگز نباید به‌طور پیش‌فرض قابل اعتماد باشند، به‌خصوص اگر به‌عنوان بایگانی ZIP محافظت‌شده با رمز عبور یا شامل مراحل نصب مبهم باشند.

کاربران هرگز نباید فایل های اجرایی را از منابع تایید نشده اجرا کنند، مهم نیست که این ابزار چقدر مفید به نظر می رسد.

اطمینان حاصل کنید که با غیرفعال کردن قابلیت اجرای فایل های اجرایی از پوشه هایی مانند AppData، که مهاجمان اغلب برای مخفی کردن بارهای خود از آن استفاده می کنند، محافظت اضافی را فعال کنید.

علاوه بر این، فایل‌های DLL موجود در رومینگ یا پوشه‌های موقت باید برای بررسی بیشتر علامت‌گذاری شوند.

مراقب فعالیت فایل های عجیب و غریب در رایانه خود باشید و MSBuild.exe و سایر وظایف را در مدیر وظیفه یا ابزارهای سیستم که برای جلوگیری از عفونت های اولیه رفتاری غیرعادی دارند، نظارت کنید.

در سطح فنی، به‌جای تکیه بر اسکن‌های سنتی، از بهترین آنتی‌ویروس‌هایی استفاده کنید که تشخیص مبتنی بر رفتار را ارائه می‌دهند، همراه با ابزارهایی که حفاظت DDoS و حفاظت نقطه پایانی را برای پوشش طیف وسیع‌تری از تهدیدات، از جمله تزریق حافظه، ایجاد فرآیند مخفیانه، و سوء استفاده از API ارائه می‌کنند.

شما هم ممکن است دوست داشته باشید