Μια νέα εκστρατεία κυβερνοεγκλήματος στοχεύει χρήστες βιντεοπαιχνιδιών που αναζητούν cheat scripts, παρασύροντάς τους να κατεβάσουν κακόβουλο λογισμικό βασισμένο στη γλώσσα προγραμματισμού Lua.
Το κακόβουλο λογισμικό αυτό είναι ικανό να αποκτήσει πρόσβαση σε συστήματα, να εγκαταστήσει επιπλέον payload και να διατηρήσει τον έλεγχο των μολυσμένων υπολογιστών.
Πώς εξαπατούνται οι χρήστες
Η επίθεση εκμεταλλεύεται τη δημοτικότητα της Lua, η οποία χρησιμοποιείται συχνά ως γλώσσα προγραμματισμού για scripts σε πλατφόρμες βιντεοπαιχνιδιών. Όπως αναφέρει ο ερευνητής της Morphisec, Shmuel Uzan, το κακόβουλο λογισμικό έχει εξαπλωθεί σε πολλές περιοχές, συμπεριλαμβανομένων της Βόρειας και Νότιας Αμερικής, Ευρώπης, Ασίας και Αυστραλίας.
Οι επιτιθέμενοι προσελκύουν τους χρήστες προσφέροντάς τους ψεύτικα cheat engines, όπως τα δημοφιλή Solara και Electron, τα οποία υποτίθεται ότι παρέχουν δυνατότητες cheat στα παιχνίδια. Όταν οι χρήστες αναζητούν αυτά τα cheat scripts μέσω του Google, οδηγούνται σε κακόβουλες ιστοσελίδες που περιέχουν συνδέσμους σε επιβλαβή αρχεία ZIP, τα οποία είναι αποθηκευμένα σε νόμιμα αποθετήρια GitHub.
Λεπτομέρειες της επίθεσης
Το αρχείο ZIP που κατεβάζει ο χρήστης περιέχει τέσσερα βασικά συστατικά: έναν Lua compiler, μια βιβλιοθήκη DLL του Lua runtime interpreter (lua51.dll), ένα κακόβουλο Lua script και ένα batch αρχείο (“launcher.bat”). Όταν εκτελεστεί το batch αρχείο, ξεκινάει το κακόβουλο Lua script, το οποίο στη συνέχεια συνδέεται με έναν Command-and-Control (C2) server.
Ο C2 server συλλέγει πληροφορίες για το μολυσμένο σύστημα και στέλνει εντολές για περαιτέρω ενέργειες. Αυτές περιλαμβάνουν διατήρηση της παρουσίας του κακόβουλου λογισμικού στο σύστημα, απόκρυψη των διαδικασιών του, και λήψη νέων κακόβουλων payloads, όπως ο Redone Stealer και το CypherIT Loader.
Εξέλιξη της επίθεσης
Οι ερευνητές της Morphisec παρατήρησαν μια αλλαγή στην τεχνική διανομής του κακόβουλου λογισμικού. Ενώ αρχικά χρησιμοποιούσαν compiled Lua bytecode για τη διανομή του malware, οι επιτιθέμενοι πλέον προτιμούν την παράδοση του κακόβουλου λογισμικού μέσω obfuscated Lua scripts. Αυτή η μέθοδος είναι λιγότερο ανιχνεύσιμη, καθώς το bytecode προκαλεί συχνά υποψίες.
Επιπτώσεις
Οι information stealers όπως ο RedLine Stealer έχουν αρχίσει να κυριαρχούν στο τοπίο των κυβερνοεπιθέσεων. Αυτοί οι τύποι κακόβουλου λογισμικού συλλέγουν προσωπικά δεδομένα και διαπιστευτήρια των θυμάτων, τα οποία πωλούνται στη συνέχεια σε πιο εξελιγμένες ομάδες εγκληματιών στον σκοτεινό ιστό, για να χρησιμοποιηθούν σε περαιτέρω επιθέσεις. Ο RedLine έχει δημιουργήσει μια τεράστια αγορά στο Dark Web, όπου πωλούνται τα διαπιστευτήρια που υποκλέπτονται από τέτοιες επιθέσεις.
Παράλληλη εκστρατεία με Crypto Miners
Αυτή η αποκάλυψη έρχεται λίγες ημέρες μετά από μια αναφορά της Kaspersky, η οποία αποκάλυψε ότι οι χρήστες που αναζητούν παράνομες εκδόσεις λογισμικού σε πλατφόρμες όπως το Yandex, στοχοποιούνται από επιθέσεις που διανέμουν έναν open-source κρυπτονομισματικό miner με το όνομα SilentCryptoMiner.
Στην περίπτωση αυτή, οι επιθέσεις στοχεύουν χρήστες σε χώρες όπως η Ρωσία, Λευκορωσία, Ινδία, Ουζμπεκιστάν, Καζακστάν, Γερμανία και άλλες. Οι επιθέσεις διανέμονται μέσω πλατφορμών όπως το Telegram, σε κανάλια που σχετίζονται με κρυπτονομίσματα, καθώς και σε σχόλια και περιγραφές YouTube βίντεο που αφορούν κρυπτονομίσματα, cheats και τυχερά παιχνίδια.
Ενώ ο κύριος στόχος αυτών των επιθέσεων είναι η κρυφή εξόρυξη κρυπτονομισμάτων, ορισμένες παραλλαγές του κακόβουλου λογισμικού εκτελούν και άλλες κακόβουλες ενέργειες, όπως η αντικατάσταση διευθύνσεων πορτοφολιών κρυπτονομισμάτων που αντιγράφονται στο clipboard, καθώς και η λήψη στιγμιότυπων οθόνης του μολυσμένου υπολογιστή.
Πώς να προστατευθείτε
Για να προστατευτείτε από τέτοιου είδους επιθέσεις, ακολουθήστε τις παρακάτω συστάσεις:
- Αποφύγετε τη χρήση παράνομων cheat scripts και εργαλείων. Οι απατεώνες εκμεταλλεύονται την επιθυμία των παικτών να χρησιμοποιούν cheats για να κερδίζουν πλεονεκτήματα.
- Χρησιμοποιείτε αξιόπιστα και ενημερωμένα προγράμματα προστασίας από κακόβουλο λογισμικό. Τα συστήματα ανίχνευσης μπορούν να αποτρέψουν τη λήψη και εκτέλεση κακόβουλου κώδικα.
- Ελέγχετε τις πηγές από τις οποίες κατεβάζετε αρχεία. Οι επιτιθέμενοι συχνά χρησιμοποιούν πλατφόρμες όπως το GitHub για να κρύψουν κακόβουλο λογισμικό σε νόμιμα αποθετήρια.
- Μην κατεβάζετε αρχεία από ανεπιβεβαίωτες ιστοσελίδες. Οι ιστότοποι που προσφέρουν cheats, πειρατικό λογισμικό ή άλλα μη νόμιμα αρχεία είναι συχνά επικίνδυνοι.